Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu urządzeń Govee i koordynował proces ujawniania informacji.
Podatność CVE-2025-10910: Podatność w procesie dodawania urządzeń do konta w chmurze Govee umożliwia zdalnemu atakującemu powiązanie istniejącego, podłączonego do Internetu urządzenia Govee z kontem atakującego, co skutkuje pełnym przejęciem kontroli nad urządzeniem oraz usunięciem go z konta jego prawowitego właściciela.
Interfejs API odpowiedzialny za powiązanie urządzenia po stronie serwera akceptuje zestaw identyfikatorów: device, sku, type oraz pole value, które jest obliczane po stronie klienta i nie jest kryptograficznie powiązane z żadnym sekretem pochodzącym bezpośrednio z urządzenia.
Podatność została potwierdzona na urządzeniu Govee H6056 (lampa) w wersji systemu 1.08.13, jednak może dotyczyć również innych urządzeń Govee komunikujących się z chmurą. Producent nie jest w stanie dostarczyć listy wszystkich podatnych modeli, ale wdraża poprawki w oprogramowaniu urządzeń oraz po stronie serwera.
Urządzenia po okresie wsparcia wymagają wymiany na nowsze modele otrzymujące aktualizacje.
Podziękowania
Za zgłoszenie podatności dziękujemy Janowi Adamskiemu i Markowi Janiszewskiemu z Zakładu Cyberbezpieczeństwa NASK - PIB.
