VDB-320474 · CVE-2025-55293 · GHSA-95pq-gj5v-4fg2

Meshtastic Firmware bis 2.6.2 schwache Authentisierung

CVSS Meta Temp Score	Aktueller Exploitpreis (≈)	CTI Interest Score
8.7	$0-$5k	0.00

Zusammenfassunginfo

In Meshtastic Firmware bis 2.6.2 wurde eine kritische Schwachstelle entdeckt. Dabei betrifft es einen unbekannter Codeteil. Dank Manipulation mit unbekannten Daten kann eine schwache Authentisierung-Schwachstelle ausgenutzt werden. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2025-55293 gehandelt. Der Angriff kann über das Netzwerk passieren. Es ist soweit kein Exploit verfügbar. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen.

Detailsinfo

Eine kritische Schwachstelle wurde in Meshtastic Firmware bis 2.6.2 entdeckt. Hierbei geht es um unbekannter Programmcode. Dank der Manipulation mit einer unbekannten Eingabe kann eine schwache Authentisierung-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-287. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:

Meshtastic is an open source mesh networking solution. Prior to v2.6.3, an attacker can send NodeInfo with a empty publicKey first, then overwrite it with a new key. First sending a empty key bypasses 'if (p.public_key.size > 0) {', clearing the existing publicKey (and resetting the size to 0) for a known node. Then a new key bypasses 'if (info->user.public_key.size > 0) {', and this malicious key is stored in NodeDB. This vulnerability is fixed in 2.6.3.

Auf github.com kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet seit dem 12.08.2025 als CVE-2025-55293 statt. Sie gilt als leicht auszunutzen. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle.

Ein Upgrade auf die Version 2.6.3 vermag dieses Problem zu beheben. Die Schwachstelle lässt sich auch durch das Einspielen des Patches cf7f0f9d0895602df3453a4f5cfea843f4e09744 beheben. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Aktualisieren auf eine neue Version empfohlen.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Produktinfo

Typ

Firmware Software

Hersteller

Meshtastic

Name

Firmware

Version

Lizenz

Open-Source

Webseite

Produkt: https://github.com/meshtastic/firmware/

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 8.8
VulDB Meta Temp Score: 8.7

VulDB Base Score: 7.3
VulDB Temp Score: 7.0
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 9.8
NVD Vector: 🔒

CNA Base Score: 9.4
CNA Vector (GitHub_M): 🔒

CVSSv2info

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vektor	Komplexität	Authentisierung	Vertraulichkeit	Integrität	Verfügbarkeit
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Schwache Authentisierung
CWE: CWE-287
CAPEC: 🔒
ATT&CK: 🔒

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔒
Status: Nicht definiert

EPSS Score: 🔒
EPSS Percentile: 🔒

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Day	freischalten	freischalten	freischalten	freischalten
Heute	freischalten	freischalten	freischalten	freischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔒

Upgrade: Firmware 2.6.3
Patch: cf7f0f9d0895602df3453a4f5cfea843f4e09744

Timelineinfo

12.08.2025 CVE zugewiesen
18.08.2025 +6 Tage Advisory veröffentlicht
18.08.2025 +0 Tage VulDB Eintrag erstellt
17.10.2025 +60 Tage VulDB Eintrag letzte Aktualisierung