Vulnerabilidad en Reolink v4.54.0.4.20250526 (CVE-2025-55619)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-321
Uso de claves de cifrado embebidas en el software
Fecha de publicación:
22/08/2025
Última modificación:
28/08/2025
Descripción
Se descubrió que Reolink v4.54.0.4.20250526 contenía una clave de cifrado y un vector de inicialización codificados. Un atacante podría aprovechar esta vulnerabilidad para descifrar los tokens de acceso y de sesión web almacenados en la aplicación mediante ingeniería inversa.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:reolink:reolink:4.54.0.4.20250526:*:*:*:*:android:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://cwe.mitre.org/data/definitions/321.html
- https://cwe.mitre.org/data/definitions/329.html
- https://developer.android.com/reference/kotlin/androidx/security/crypto/EncryptedSharedPreferences
- https://nvd.nist.gov/vuln/detail/CVE-2020-25173
- https://www.notion.so/Reolink-Android-App-Uses-Hardcoded-AES-Key-and-IV-for-Sensitive-Data-Decryption-21a43700364280dc95bedcf6ac1a5db0
- https://relieved-knuckle-264.notion.site/Reolink-Android-App-Uses-Hardcoded-AES-Key-and-IV-for-Sensitive-Data-Decryption-21a43700364280dc95bedcf6ac1a5db0