Inicio / Alerta Temprana / Avisos Seguridad / Ausencia de cifrado de información sensible en Meross MSS550X

Ausencia de cifrado de información sensible en Meross MSS550X

Fecha de publicación: 
04/11/2021
Importancia: 
5 - Crítica
Recursos afectados: 

Smart Wi-Fi 2 Way Wall Switch (MSS550X), versión 3.1.3 y anteriores.

Descripción: 

INCIBE ha coordinado la publicación de una vulnerabilidad en Meross MSS550X, con el código interno INCIBE-2021-0450, que ha sido descubierta por Gerard Fuguet Morales.

A esta vulnerabilidad se le ha asignado el código CVE-2021-3774. Se ha calculado una puntuación base CVSS v3.1 de 9,3; siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N.

Solución: 

El problema ha sido solucionado por Meross en MSS550X, versión 3.2.3

Detalle: 

Meross Smart Wi-Fi 2 Way Wall Switch (MSS550X), versión 3.1.3 y anteriores, crea un punto de acceso Wi-Fi sin las medidas de seguridad requeridas en la instalación inicial.

Esto podría permitir a un atacante remoto obtener el SSID de la Wi-Fi, así como la contraseña configurada por el usuario desde la app de Meross, a través de una solicitud Http/JSON.

CWE-311: Ausencia de cifrado de información sensible.

Si tiene más información sobre este aviso, póngase en contacto con INCIBE, como se indica en la sección de asignación y publicación de CVE.

Encuesta valoración