Múltiples vulnerabilidades en productos Qardio
Los siguientes productos de Qardio están afectados:
- Qardio Heart Health IOS Mobile Application: versión 2.7.4.
- Qardio Heart Health Android Mobile Application: versión 2.5.1.
- QardioARM A100: todas las versiones.
Bryan Riggins, de Insulet Corporation, ha reportado 3 vulnerabilidades, una de severidad alta y 2 medias, cuya explotación podría permitir a un atacante obtener información sensible, causar una condición de denegación de servicio (DoS) y obtener archivos de firmware.
Qardio no ha respondido a las solicitudes de colaboración con CISA para mitigar estas vulnerabilidades. Se invita a los usuarios de los productos afectados a contactar con el servicio de atención al cliente de Qardio para obtener más información.
Un atacante podría enviar comandos para iniciar una medición mediante un script, a través de una conexión Bluetooth no cifrada, lo que impediría el uso del dispositivo y provocaría una condición de denegación de servicio. Se ha asignado el identificador CVE-2025-24836.
Para las vulnerabilidades de severidad media, se han asignado los identificadores CVE-2025-20615 y CVE-2025-23421.
