Tomofun Furbo 360/Furbo Mini GATT Service DeviceToken الكشف عن المعلومات
| CVSS الدرجة المؤقتة للميتا | سعر الإكسبلويت الحالي (≈) | درجة اهتمام CTI |
|---|---|---|
| 4.2 | $0-$5k | 0.00 |
الملخص
تم اكتشاف ثغرة مصنفة كـ مشكلة صعبة الحل في Tomofun Furbo 360 and Furbo Mini. تتعلق المشكلة بالوظيفة $software_function في المكون GATT Service. تؤدي عملية التلاعب بالوسيط DeviceToken إلى الكشف عن المعلومات.
تُعرف هذه الثغرة باسم CVE-2025-11647. يمكن شن هذا الهجوم على الشبكات المحلية فقط. أيضًا، هناك استغلال متوفر.
التفاصيل
تم اكتشاف ثغرة مصنفة كـ مشكلة صعبة الحل في Tomofun Furbo 360 and Furbo Mini. تتعلق المشكلة بالوظيفة $software_function في المكون GATT Service. تؤدي عملية التلاعب بالوسيط DeviceToken إلى الكشف عن المعلومات. تعريف الـ سي دبليو أي للثغرة الأمنية هو CWE-200. تم اكتشاف الخلل بتاريخ 15/05/2025. المشكلة تم الإبلاغ عنها بتاريخ بواسطة Calvin Star, Julian B (skelet4r and dead1nfluence) مع Software Secured. تمت مشاركة التنبيه للتنزيل على github.com.
تُعرف هذه الثغرة باسم CVE-2025-11647. يمكن شن هذا الهجوم على الشبكات المحلية فقط. يوجد شرح تقني متاح. مستوى تعقيد الهجوم عالي. يُقال إن الاستغلال صعب. هذه الثغرة ليست شائعة مقارنة بالمتوسط. أيضًا، هناك استغلال متوفر. يعلن مشروع MITRE ATT&CK عن تقنية الهجوم كـ T1592.
في حال وجود إثبات المفهوم، يتم الإعلان عنه كـ إثبات المفهوم. تم توفير الاستغلال للتنزيل على github.com. تمت معالجة الثغرة كاستغلال يوم-صفر خاص لمدة لا تقل عن 149 يومًا.
منتج
النوع
المجهز
الأسم
CPE 2.3
CPE 2.2
CVSSv4
VulDB متجه: 🔒VulDB الاعتمادية: 🔍
CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA متجه: 🔒
CVSSv3
VulDB الدرجة الأساسية للميتا: 4.3VulDB الدرجة المؤقتة للميتا: 4.2
VulDB الدرجة الأساسية: 3.1
VulDB الدرجة المؤقتة: 2.8
VulDB متجه: 🔒
VulDB الاعتمادية: 🔍
NVD الدرجة الأساسية: 6.8
NVD متجه: 🔒
CNA الدرجة الأساسية: 3.1
CNA متجه: 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| متجه | التعقيد | توثيق | السرية | الأمانة | التوفر |
|---|---|---|---|---|---|
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
VulDB الدرجة الأساسية: 🔒
VulDB الدرجة المؤقتة: 🔒
VulDB الاعتمادية: 🔍
استغلال
الفئة: الكشف عن المعلوماتCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔒
ATT&CK: 🔒
ملموس: لا
محلي: لا
عن بُعد: جزئي
التوفر: 🔒
وصول: خاص
الحالة: إثبات المفهوم
المؤلف: Calvin Star (Skelet4r)
تحميل: 🔒
EPSS Score: 🔒
EPSS Percentile: 🔒
تقدير السعر: 🔍
تقدير السعر الحالي: 🔒
| 0-Day | افتح | افتح | افتح | افتح |
|---|---|---|---|---|
| اليوم | افتح | افتح | افتح | افتح |
استخبارات التهديد
الاهتمام: 🔍الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍
إجراءات مضادة
التوصية: لا يوجد تخفيف معروفالحالة: 🔍
زمن الهجوم الفوري: 🔒
الجدول الزمني
15/05/2025 تم إيجاد الثغرة21/06/2025 تم إبلاغ الشركة المصنعة
03/07/2025 أكدت الشركة المصنعة
11/10/2025 تم نشر الاستشارة
11/10/2025 تم إنشاء إدخال VulDB
28/10/2025 آخر تحديث في VulDB
المصادر
استشارة: github.comباحث: Calvin Star, Julian B (skelet4r, dead1nfluence)
منظمة: Software Secured
الحالة: غير معرفة
CVE: CVE-2025-11647 (🔒)
GCVE (CVE): GCVE-0-2025-11647
GCVE (VulDB): GCVE-100-328058
EUVD: 🔒
scip Labs: https://www.scip.ch/en/?labs.20161013
إدخال
تم الإنشاء: 11/10/2025 08:39 PMتم التحديث: 28/10/2025 05:55 AM
التغييرات: 11/10/2025 08:39 PM (56), 13/10/2025 12:26 AM (1), 13/10/2025 01:02 AM (30), 18/10/2025 11:29 PM (1), 18/10/2025 11:30 PM (16), 28/10/2025 05:55 AM (12)
كامل: 🔍
المقدم: jTag Labs
المتعهد: jTag Labs
Cache ID: 216::103
إرسال
تمت الموافقة
- إرسال #662767: Tomofun Furbo 360, Furbo Mini Furbo 360 (≤ FB0035_FW_036), Furbo Mini (≤ MC0020_FW_074 ) Information Disclosure (بحسب jTag Labs)
If you want to get best quality of vulnerability data, you may have to visit VulDB.
لا توجد تعليقات بعد اللغات: ar + fa + en.
يرجى تسجيل الدخول حتى تتمكن من التعليق