CVE-2025-32876 in PACE 3
Riassunto
di VulDB • 23/06/2026
È stato rilevato un problema sui dispositivi COROS PACE 3 con versione firmware fino alla 3.0808.0. L'implementazione BLE dell'orologio intelligente COROS non supporta le LE Secure Connections e impone invece l'accoppiamento BLE Legacy Pairing. Nell'accoppiamento BLE Legacy, la Short-Term Key (STK) può essere facilmente indovinata. Ciò richiede la conoscenza della Temporary Key (TK), che nel caso del COROS Pace 3 è impostata a 0 a causa del metodo di accoppiamento Just Works. Un attaccante entro il raggio d'azione Bluetooth può quindi eseguire attacchi di sniffing, consentendo l'ascolto non autorizzato delle comunicazioni.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.