CVE-2024-7205
Mis à jour :
Accès non autorisé à distance aux appareils IoT via une faille du service eWeLink
Une vulnérabilité identifiée sous la référence CVE-2024-7205 concerne le module de page d’accueil du service Cloud eWeLink, impactant les versions antérieures à la 2.19.0. Cette faille permet à un utilisateur secondaire de prendre le contrôle des appareils d’un utilisateur principal en exploitant le partage d’informations sensibles non nécessaires relatives aux appareils.
La criticité de cette faille est soulignée par un score CVSS 4.0 de 9.4, indiquant un risque élevé. L’analyse des risques révèle que cette vulnérabilité peut potentiellement entraîner un accès complet et non autorisé aux fonctionnalités et aux données des appareils connectés.
Pour remédier à cette situation, il est impératif de mettre à jour le module de page d’accueil du service Cloud eWeLink vers la version 2.19.0 ou une version ultérieure. Cette mise à jour, disponible depuis le 30 juillet 2024, corrige le défaut de sécurité.
Points Clés :
- Vulnérabilité : CVE-2024-7205
- Produit affecté : Service Cloud eWeLink, module de page d’accueil (versions antérieures à 2.19.0)
- Type de vulnérabilité : Escalade de privilèges / prise de contrôle d’appareils
- Mécanisme d’attaque : Exploitation du partage d’informations sensibles d’appareils
- Impact : Un utilisateur secondaire peut prendre le contrôle des appareils d’un utilisateur principal.
- Score CVSS 4.0 : 9.4 (Très élevé)
Recommandations :
- Mettre à jour le module de page d’accueil du service Cloud eWeLink vers la version 2.19.0 ou une version plus récente.