Vulnerabilidad en Meshtastic (CVE-2024-47079)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-345 Verificación insuficiente de autenticidad de los datos

Fecha de publicación:

07/10/2024

Última modificación:

21/10/2025

Descripción

Meshtastic es una red en malla descentralizada, fuera de la red y de código abierto diseñada para funcionar en dispositivos asequibles y de bajo consumo. El firmware Meshtastic es una implementación de firmware de código abierto para un proyecto más amplio. El módulo de hardware remoto del firmware no tiene las comprobaciones adecuadas para garantizar que se reciba un mensaje de control de hardware remoto que se considere válido. Este problema se ha solucionado en la versión 2.5.1. Se recomienda a todos los usuarios que actualicen. No existen workarounds conocidas para esta vulnerabilidad.

Impacto

Vector 3.x

CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.40 MEDIA
Vector: CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:H

Vector de acceso (AV): Red adyacente
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

6.40

Gravedad 3.x

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:o:meshtastic:meshtastic_firmware::::::::		2.5.1 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://github.com/meshtastic/firmware/security/advisories/GHSA-h8mh-p4r3-4jv7