motogadget mo.lock Ignition Lock حتى 20251125 NFC تشفير ضعيف
| CVSS الدرجة المؤقتة للميتا | سعر الإكسبلويت الحالي (≈) | درجة اهتمام CTI |
|---|---|---|
| 1.9 | $0-$5k | 0.00 |
الملخص
لقد تم العثور على ثغرة تم تصنيفها كـ مشكلة صعبة الحل ضمن motogadget mo.lock Ignition Lock حتى 20251125. تتأثر وظيفة غير معروفة من المكون NFC Handler. تؤدي عملية التلاعب إلى تشفير ضعيف. تم تسجيل هذه الثغرة تحت الرمز CVE-2025-6666. من الممكن شن الهجوم على الجهاز الفعلي. بالإضافة إلى ذلك، يتوفر استغلال.
التفاصيل
لقد تم العثور على ثغرة تم تصنيفها كـ مشكلة صعبة الحل ضمن motogadget mo.lock Ignition Lock حتى 20251125. تتأثر وظيفة غير معروفة من المكون NFC Handler. تؤدي عملية التلاعب إلى تشفير ضعيف. عند استخدام CWE لتحديد المشكلة، سيتم التوجيه إلى CWE-321. المشكلة تم الافصاح عنها بتاريخ بواسطة A. E. Graafstra, M. P. Faith and A. C. Buglione. التنبيه متاح للتنزيل عبر office.dngr.us.
تم تسجيل هذه الثغرة تحت الرمز CVE-2025-6666. من الممكن شن الهجوم على الجهاز الفعلي. لا تتوفر معلومات تقنية. الهجوم هذا كان معقد للغاية. الثغرة الأمنية هذه صعبة الاستغلال. معدل انتشار هذه الثغرة أقل من المعدل العام. بالإضافة إلى ذلك، يتوفر استغلال. مشروع ميتري اتاك يصنف اسلوب الهجوم هذا على انه T1600.001. وقد أشار الاستشاري إلى أن:
An attacker with brief physical proximity can perform a high-speed, non-privileged read of a key’s 7-byte serial number (UID) using standard NFC reading equipment such as a smartphone. Subsequently, an ISO 14443-A emulator such as the Flipper Zero or Proxmark3 can be used to replay the captured UID to any mo.lock NFC unit, systematically iterating through the limited (16-bit) password verification value space to recover the authentication data needed to create a clone of the ignition key.
إذا تم تحديد إثبات المفهوم، فإنه يُعلن كـ إثبات المفهوم. إذا كان This vulnerability’s root cause is a combination of two critical design flaws. First, the use of a globally shared secret across all units means every mo.lock NFC lock serves as a cryptographic oracle capable of validating authentication attempts for any captured UID. Second, the password verification value space provides insufficient entropy and is trivial to exhaust. غير فارغ، فإن التنويه يلفت الانتباه إلى:
This vulnerability’s root cause is a combination of two critical design flaws. First, the use of a globally shared secret across all units means every mo.lock NFC lock serves as a cryptographic oracle capable of validating authentication attempts for any captured UID. Second, the password verification value space provides insufficient entropy and is trivial to exhaust.
منتج
المجهز
الأسم
النسخة
CPE 2.3
CPE 2.2
CVSSv4
VulDB متجه: 🔒VulDB الاعتمادية: 🔍
CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA متجه: 🔒
CVSSv3
VulDB الدرجة الأساسية للميتا: 2.0VulDB الدرجة المؤقتة للميتا: 1.9
VulDB الدرجة الأساسية: 2.0
VulDB الدرجة المؤقتة: 1.9
VulDB متجه: 🔒
VulDB الاعتمادية: 🔍
CNA الدرجة الأساسية: 2.0
CNA متجه: 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| متجه | التعقيد | توثيق | السرية | الأمانة | التوفر |
|---|---|---|---|---|---|
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
VulDB الدرجة الأساسية: 🔒
VulDB الدرجة المؤقتة: 🔒
VulDB الاعتمادية: 🔍
استغلال
الفئة: تشفير ضعيفCWE: CWE-321 / CWE-320
CAPEC: 🔒
ATT&CK: 🔒
ملموس: نعم
محلي: نعم
عن بُعد: لا
التوفر: 🔒
الحالة: إثبات المفهوم
EPSS Score: 🔒
EPSS Percentile: 🔒
تقدير السعر: 🔍
تقدير السعر الحالي: 🔒
| 0-Day | افتح | افتح | افتح | افتح |
|---|---|---|---|---|
| اليوم | افتح | افتح | افتح | افتح |
استخبارات التهديد
الاهتمام: 🔍الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍
إجراءات مضادة
التوصية: لا يوجد تخفيف معروفالحالة: 🔍
زمن الهجوم الفوري: 🔒
الجدول الزمني
29/11/2025 تم نشر الاستشارة29/11/2025 تم إنشاء إدخال VulDB
29/11/2025 آخر تحديث في VulDB
المصادر
استشارة: office.dngr.usباحث: A. E. Graafstra, M. P. Faith, A. C. Buglione
الحالة: غير معرفة
CVE: CVE-2025-6666 (🔒)
GCVE (CVE): GCVE-0-2025-6666
GCVE (VulDB): GCVE-100-333785
EUVD: 🔒
scip Labs: https://www.scip.ch/en/?labs.20161013
إدخال
تم الإنشاء: 29/11/2025 10:01 AMتم التحديث: 29/11/2025 11:15 AM
التغييرات: 29/11/2025 10:01 AM (53), 29/11/2025 10:03 AM (3), 29/11/2025 10:22 AM (29), 29/11/2025 11:15 AM (1)
كامل: 🔍
المقدم: drewbug
Cache ID: 216::103
إرسال
تمت الموافقة
- إرسال #701162: motogadget mo.lock NFC CWE-290, CWE-327, CWE-1394 (بحسب drewbug)
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
لا توجد تعليقات بعد اللغات: ar + fa + en.
يرجى تسجيل الدخول حتى تتمكن من التعليق