Meshtastic bis 2.6.2 Direct Message Remote Code Execution
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 7.6 | $0-$5k | 0.00 |
Zusammenfassung
In Meshtastic bis 2.6.2 wurde eine Schwachstelle ausgemacht. Sie wurde als kritisch eingestuft. Es ist betroffen eine unbekannte Funktion der Komponente Direct Message Handler. Durch Beeinflussen mit unbekannten Daten kann eine Remote Code Execution-Schwachstelle ausgenutzt werden. Die Verwundbarkeit wird unter CVE-2025-55292 geführt. Es ist möglich, den Angriff aus der Ferne durchzuführen. Es ist soweit kein Exploit verfügbar. Als bestmögliche Massnahme wird Patching empfohlen.
Details
Es wurde eine Schwachstelle in Meshtastic bis 2.6.2 ausgemacht. Sie wurde als kritisch eingestuft. Betroffen hiervon ist ein unbekannter Ablauf der Komponente Direct Message Handler. Durch Manipulation mit einer unbekannten Eingabe kann eine Remote Code Execution-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-348 vorgenommen. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:
Meshtastic is an open source mesh networking solution. In the current Meshtastic architecture, a Node is identified by their NodeID, generated from the MAC address, rather than their public key. This aspect downgrades the security, specifically by abusing the HAM mode which doesn't use encryption. An attacker can, as such, forge a NodeInfo on behalf of a victim node advertising that the HAM mode is enabled. This, in turn, will allow the other nodes on the mesh to accept the new information and overwriting the NodeDB. The other nodes will then only be able to send direct messages to the victim by using the shared channel key instead of the PKC. Additionally, because HAM mode by design doesn't provide any confidentiality or authentication of information, the attacker could potentially also be able to change the Node details, like the full name, short code, etc. To keep the attack persistent, it is enough to regularly resend the forged NodeInfo, in particular right after the victim sends their own. A patch is available in version 2.7.6.834c3c5.Bereitgestellt wird das Advisory unter github.com. Die Identifikation der Schwachstelle wird seit dem 12.08.2025 mit CVE-2025-55292 vorgenommen. Sie ist leicht ausnutzbar. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar.
Die Schwachstelle lässt sich durch das Einspielen des Patches e5e8683cdba133e726033101586c3235a8678893 lösen. Dieser kann von github.com bezogen werden.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von CNNVD (CNNVD-202601-4628) dokumentiert. If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Produkt
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.7VulDB Meta Temp Score: 7.6
VulDB Base Score: 7.3
VulDB Temp Score: 7.0
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
CNA Base Score: 8.2
CNA Vector (GitHub_M): 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Remote Code ExecutionCWE: CWE-348
CAPEC: 🔒
ATT&CK: 🔒
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔒
Status: Nicht definiert
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
0-Day Time: 🔒
Patch: e5e8683cdba133e726033101586c3235a8678893
Timeline
12.08.2025 CVE zugewiesen28.01.2026 Advisory veröffentlicht
28.01.2026 VulDB Eintrag erstellt
28.01.2026 VulDB Eintrag letzte Aktualisierung
Quellen
Advisory: GHSA-45vg-3f35-7ch2Status: Bestätigt
CVE: CVE-2025-55292 (🔒)
GCVE (CVE): GCVE-0-2025-55292
GCVE (VulDB): GCVE-100-343149
CNNVD: CNNVD-202601-4628 - Meshtastic 安全漏洞
Eintrag
Erstellt: 28.01.2026 08:02Aktualisierung: 28.01.2026 14:55
Anpassungen: 28.01.2026 08:02 (64), 28.01.2026 14:55 (6)
Komplett: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.