Vulnerabilidad en Google Devices (CVE-2024-44097)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-269
Gestión de privilegios incorrecta
Fecha de publicación:
02/10/2024
Última modificación:
24/07/2025
Descripción
Según el investigador: "Las conexiones TLS están cifradas para evitar manipulaciones o escuchas no autorizadas. Sin embargo, la aplicación no valida correctamente el certificado del servidor al inicializar la conexión TLS. Esto permite que un atacante de la red intercepte la conexión y lea los datos. El atacante podría enviar al cliente una respuesta maliciosa o reenviar los datos (posiblemente modificados) al servidor real".
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:google:nest_doorbell_\(battery\)_firmware:*:*:*:*:*:*:*:* | 1.73c (excluyendo) | |
| cpe:2.3:h:google:nest_doorbell_\(battery\):-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:google:nest_cam_\(outdoor_or_indoor\,_battery\)_firmware:*:*:*:*:*:*:*:* | 1.73c (excluyendo) | |
| cpe:2.3:h:google:nest_cam_\(outdoor_or_indoor\,_battery\):-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:google:nest_cam_with_floodlight_firmware:*:*:*:*:*:*:*:* | 1.73c (excluyendo) | |
| cpe:2.3:h:google:nest_cam_with_floodlight:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:google:nest_cam_\(indoor\,_wired\)_firmware:*:*:*:*:*:*:*:* | 1.73c (excluyendo) | |
| cpe:2.3:h:google:nest_cam_\(indoor\,_wired\):-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página