[Actualización 11/07/2025] Múltiples vulnerabilidades en productos de ECOVACS
ECOVACS informa que los siguientes dispositivos de estación base y aspiradoras DEEBOT están afectados:
- X1S PRO: versiones anteriores a la 2.5.38;
- X1 PRO OMNI: versiones anteriores a la 2.5.38;
- X1 OMNI: versiones anteriores a la 2.4.45;
- X1 TURBO: versiones anteriores a la 2.4.45;
- Serie T10: versiones anteriores a la 1.11.0;
- Serie T20: versiones anteriores a la 1.25.0;
- Serie T30: versiones anteriores a la 1.100.0.
Dennis Giese, Braelynn Luedtke y Chris Anderson han informado sobre 3 vulnerabilidades: 1 alta y 2 medias que podría permitir a un atacante enviar actualizaciones maliciosas a los dispositivos o ejecutar código.
ECOVACS ha publicado actualizaciones de software para los modelos X1S PRO y X1 PRO OMNI.
Los demás productos afectados tendrán actualizaciones disponibles el 31 de mayo de 2025.
Los dispositivos compatibles con actualizaciones automáticas recibirán notificaciones de actualización del sistema.
[Actualización 11/07/2025]
ECOVACS ha publicado actualizaciones de software para todos los dispositivos afectados.
La vulnerabilidad de severidad crítica afecta a las estaciones base del robot aspirador ECOVACS y no validan las actualizaciones de firmware, por lo que se pueden enviar actualizaciones maliciosas a la estación base mediante una conexión insegura entre el robot y la estación base. Se ha asignado el identificador CVE-2025-30199 para esta vulnerabilidad.
Se han asignado los identificadores CVE-2025-30199 y CVE-2025-30200 para las vulnerabilidades de severidad media.
