Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Ausencia de cifrado de información sensible en Meross MSS550X

Fecha de publicación 04/11/2021
Importancia
4 - Alta
Recursos Afectados

Smart Wi-Fi 2 Way Wall Switch (MSS550X), versión 3.1.3 y anteriores.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad en Meross MSS550X, con el código interno INCIBE-2021-0450, que ha sido descubierta por Gerard Fuguet Morales.

A esta vulnerabilidad se le ha asignado el código CVE-2021-3774. Se ha calculado una puntuación base CVSS v3.1 de 9,3; siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N.

Solución

El problema ha sido solucionado por Meross en MSS550X, versión 3.2.3

Detalle

Meross Smart Wi-Fi 2 Way Wall Switch (MSS550X), versión 3.1.3 y anteriores, crea un punto de acceso Wi-Fi sin las medidas de seguridad requeridas en la instalación inicial.

Esto podría permitir a un atacante remoto obtener el SSID de la Wi-Fi, así como la contraseña configurada por el usuario desde la app de Meross, a través de una solicitud Http/JSON.

CWE-319: Transmisión de información sensible en texto claro.

Si tiene más información sobre este aviso, póngase en contacto con INCIBE, como se indica en la sección de asignación y publicación de CVE.

Encuesta valoración