Ausencia de cifrado de información sensible en Meross MSS550X
Smart Wi-Fi 2 Way Wall Switch (MSS550X), versión 3.1.3 y anteriores.
INCIBE ha coordinado la publicación de una vulnerabilidad en Meross MSS550X, con el código interno INCIBE-2021-0450, que ha sido descubierta por Gerard Fuguet Morales.
A esta vulnerabilidad se le ha asignado el código CVE-2021-3774. Se ha calculado una puntuación base CVSS v3.1 de 9,3; siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N.
El problema ha sido solucionado por Meross en MSS550X, versión 3.2.3
Meross Smart Wi-Fi 2 Way Wall Switch (MSS550X), versión 3.1.3 y anteriores, crea un punto de acceso Wi-Fi sin las medidas de seguridad requeridas en la instalación inicial.
Esto podría permitir a un atacante remoto obtener el SSID de la Wi-Fi, así como la contraseña configurada por el usuario desde la app de Meross, a través de una solicitud Http/JSON.
CWE-319: Transmisión de información sensible en texto claro.
Si tiene más información sobre este aviso, póngase en contacto con INCIBE, como se indica en la sección de asignación y publicación de CVE.