Validación incorrecta de certificados en aplicaciones móviles de Dreame Technology
Fecha de publicación 08/08/2025
Identificador
INCIBE-2025-0433
Importancia
4 - Alta
Recursos Afectados
- Aplicación iOS de Dreamehome: versiones 2.3.4 y anteriores;
- Aplicación Dreamehome para Android: versiones 2.1.8.8 y anteriores;
- Aplicación iOS de MOVAhome: versiones 1.2.3 y anteriores.
Descripción
Dennis Giese ha informado sobre una vulnerabilidad de severidad alta que podría permitir una divulgación no autorizada de información.
Solución
No existe solución por el momento.
Detalle
CVE-2025-8393: existe una vulnerabilidad de TLS en la aplicación de teléfono utilizada para administrar un dispositivo conectado. Esta aplicación acepta certificados autofirmados al establecer comunicación TLS, lo que puede provocar ataques de intermediario en redes no confiables. Las comunicaciones capturadas pueden incluir credenciales de usuario y tokens de sesión confidenciales.
CVE
Explotación
No
Nuevo Fabricante
Dreame Technology
Identificador CVE
CVE-2025-8393
Severidad
Alta
Listado de referencias
Etiquetas