CVE-2024-53845 in ESP-IDFinformazioni

Riassunto

di VulDB • 21/06/2026

ESPTouch è un protocollo di connessione per dispositivi Internet of Things (IoT). Nel protocollo ESPTouchV2, sebbene sia presente un'opzione per utilizzare una chiave AES personalizzata, non è possibile impostare l'IV (Vettore di Inizializzazione) nelle versioni precedenti alla 5.3.2, 5.2.4, 5.1.6 e 5.0.8. L'IV è impostato su zero e rimane costante per tutta la durata del prodotto. In modalità AES/CBC, se l'IV non viene inizializzato correttamente, l'output cifrato diventa deterministico, portando a potenziali fughe di dati. Per risolvere i problemi sopra menzionati, l'applicazione genera un IV casuale durante l'attivazione della chiave AES a partire dalle versioni 5.3.2, 5.2.4, 5.1.6 e 5.0.8. Tale IV viene quindi trasmesso insieme ai dati di provisioning al dispositivo di provisioning. Il dispositivo di provisioning è stato inoltre dotato di un parser per l'IV AES. L'aggiornamento è applicabile a tutte le applicazioni e agli utenti del componente ESPTouch v2 di ESP-IDF. Poiché l'implementazione avviene nello stack Wi-Fi di ESP, non esiste una soluzione alternativa (workaround) per l'utente per correggere il livello applicazione senza aggiornare il firmware sottostante.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

GitHub M

Prenotare

22/11/2024

Divulgazione

12/12/2024

Moderazione

accettato

CPE

pronto

EPSS

0.00571

KEV

no

Attività

molto basso

Fonti

Do you want to use VulDB in your project?

Use the official API to access entries easily!