CVE-2024-53845 in ESP-IDF
Riassunto
di VulDB • 21/06/2026
ESPTouch è un protocollo di connessione per dispositivi Internet of Things (IoT). Nel protocollo ESPTouchV2, sebbene sia presente un'opzione per utilizzare una chiave AES personalizzata, non è possibile impostare l'IV (Vettore di Inizializzazione) nelle versioni precedenti alla 5.3.2, 5.2.4, 5.1.6 e 5.0.8. L'IV è impostato su zero e rimane costante per tutta la durata del prodotto. In modalità AES/CBC, se l'IV non viene inizializzato correttamente, l'output cifrato diventa deterministico, portando a potenziali fughe di dati. Per risolvere i problemi sopra menzionati, l'applicazione genera un IV casuale durante l'attivazione della chiave AES a partire dalle versioni 5.3.2, 5.2.4, 5.1.6 e 5.0.8. Tale IV viene quindi trasmesso insieme ai dati di provisioning al dispositivo di provisioning. Il dispositivo di provisioning è stato inoltre dotato di un parser per l'IV AES. L'aggiornamento è applicabile a tutte le applicazioni e agli utenti del componente ESPTouch v2 di ESP-IDF. Poiché l'implementazione avviene nello stack Wi-Fi di ESP, non esiste una soluzione alternativa (workaround) per l'utente per correggere il livello applicazione senza aggiornare il firmware sottostante.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.