CVE-2026-3558

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-306 Ausencia de autenticación para una función crítica

Fecha de publicación:

16/03/2026

Última modificación:

16/03/2026

Descripción

*** Pendiente de traducción *** Philips Hue Bridge HomeKit Accessory Protocol Transient Pairing Mode Authentication Bypass Vulnerability. This vulnerability allows network-adjacent attackers to bypass authentication on affected installations of Philips Hue Bridge. Authentication is not required to exploit this vulnerability.<br /> <br /> The specific flaw exists within the configuration of the HomeKit Accessory Protocol service, which listens on TCP port 8080 by default. The issue results from the lack of authentication prior to allowing access to functionality. An attacker can leverage this vulnerability to bypass authentication on the system. Was ZDI-CAN-28374.

Impacto

Vector 3.x

CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.10 ALTA
Vector: CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

Vector de acceso (AV): Red adyacente
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

8.10

Gravedad 3.x

ALTA

Referencias a soluciones, herramientas e información

https://www.zerodayinitiative.com/advisories/ZDI-26-156/