Rapid7 研究员 Arvind Vishwakarma 在 Fortress S03 WiFi 家庭安全系统中发现了多个漏洞。这些漏洞可能导致未经授权访问控制或修改系统行为,以及访问存储或传输中的未加密信息。CVE-2021-39276 描述了CWE-287 的一个实例;具体来说,它描述了一个不安全的云 API 部署,它允许未经身份验证的用户轻松地学习一个秘密,然后可以用来远程更改系统的功能。它的初始 CVSS 分数为5.3(中等)。CVE-2021-39277 描述了CWE-294 的一个实例,一个在射频 (RF) 信号范围内的任何人都可以捕获和重放 RF 信号以改变系统行为的漏洞,初始 CVSS 分数为5.7。
2021-09-07