Múltiples vulnerabilidades en productos de ECOVACS
ECOVACS informa que los siguientes dispositivos de estación base y aspiradoras DEEBOT están afectados:
- X1S PRO: versiones anteriores a la 2.5.38;
- X1 PRO OMNI: versiones anteriores a la 2.5.38;
- X1 OMNI: versiones anteriores a la 2.4.45;
- X1 TURBO: versiones anteriores a la 2.4.45;
- Serie T10: versiones anteriores a la 1.11.0;
- Serie T20: versiones anteriores a la 1.25.0;
- Serie T30: versiones anteriores a la 1.100.0.
Dennis Giese, Braelynn Luedtke y Chris Anderson han informado sobre 3 vulnerabilidades: 1 alta y 2 medias que podría permitir a un atacante enviar actualizaciones maliciosas a los dispositivos o ejecutar código.
ECOVACS ha publicado actualizaciones de software para los modelos X1S PRO y X1 PRO OMNI.
Los demás productos afectados tendrán actualizaciones disponibles el 31 de mayo de 2025.
Los dispositivos compatibles con actualizaciones automáticas recibirán notificaciones de actualización del sistema.
La vulnerabilidad de severidad crítica afecta a las estaciones base del robot aspirador ECOVACS y no validan las actualizaciones de firmware, por lo que se pueden enviar actualizaciones maliciosas a la estación base mediante una conexión insegura entre el robot y la estación base. Se ha asignado el identificador CVE-2025-30199 para esta vulnerabilidad.
Se han asignado los identificadores CVE-2025-30199 y CVE-2025-30200 para las vulnerabilidades de severidad media.
