CVE-2024-53845 in ESP-IDFinfo

Zusammenfassung

von VulDB • 21.06.2026

ESPTouch ist ein Verbindungsprotokoll für Internet-of-Things-Geräte. Im ESPTouchV2-Protokoll besteht zwar die Möglichkeit, einen benutzerdefinierten AES-Schlüssel zu verwenden, jedoch gibt es in den Versionen vor 5.3.2, 5.2.4, 5.1.6 und 5.0.8 keine Option, den IV (Initialization Vector) vorab festzulegen. Der IV wird auf Null gesetzt und bleibt während der gesamten Lebensdauer des Produkts konstant. Im AES/CBC-Modus führt eine nicht ordnungsgemäße Initialisierung des IV dazu, dass die verschlüsselte Ausgabe deterministisch wird, was zu potenziellen Datenlecks führen kann. Um die oben genannten Probleme zu beheben, generiert die Anwendung ab den Versionen 5.3.2, 5.2.4, 5.1.6 und 5.0.8 einen zufälligen IV, wenn der AES-Schlüssel aktiviert wird. Dieser IV wird anschließend zusammen mit den Bereitstellungsdaten an das Bereitstellungsgerät gesendet. Das Bereitstellungsgerät wurde zudem mit einem Parser für den AES-IV ausgestattet. Das Upgrade gilt für alle Anwendungen und Benutzer der ESPTouch v2-Komponente aus ESP-IDF. Da dies im ESP-Wi-Fi-Stack implementiert ist, gibt es keine Umgehungslösung für den Benutzer, um die Anwendungsschicht ohne Aktualisierung der zugrunde liegenden Firmware zu beheben.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

GitHub M

Reservieren

22.11.2024

Veröffentlichung

12.12.2024

Moderieren

akzeptiert

Eintrag

VDB-287980

CPE

bereit

EPSS

0.00571

KEV

nein

Aktivitäten

very low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!