Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Nuki Home Solutions (CVE-2022-32507)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-284 Control de acceso incorrecto
Fecha de publicación:
14/05/2024
Última modificación:
14/08/2024

Descripción

Se ha descubierto un problema en determinados dispositivos de Nuki Home Solutions. Algunos comandos BLE, que deberían haber sido manipulados para ejecutarse únicamente desde cuentas privilegiadas, también podrían ejecutarse desde cuentas sin privilegios. Esto demuestra que no se implementaron controles de acceso para los diferentes comandos BLE en las diferentes cuentas. Esto afecta a Nuki Smart Lock 3.0 anterior a 3.3.5 y a Nuki Smart Lock 2.0 anterior a 2.12.4.