| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 1.9 | $0-$5k | 1.09 |
要約
motogadget mo.lock Ignition Lock 迄 20251125内に 問題がある として分類された脆弱性が発見されました。 影響を受けるのは、コンポーネント【NFC Handler】の未知の関数です。 この操作は、 弱い暗号化を引き起こします。 この脆弱性は CVE-2025-6666 として扱われます。 攻撃は物理デバイス上で行うことができます。 さらに、悪用手段が存在します。
詳細
motogadget mo.lock Ignition Lock 迄 20251125内に 問題がある として分類された脆弱性が発見されました。 影響を受けるのは、コンポーネント【NFC Handler】の未知の関数です。 この操作は、 弱い暗号化を引き起こします。 CWEを使用して問題を宣言すると、CWE-321 につながります。 この弱点は発表されました A. E. Graafstra, M. P. Faith and A. C. Buglioneによって。 アドバイザリはoffice.dngr.usから入手可能です。
この脆弱性は CVE-2025-6666 として扱われます。 攻撃は物理デバイス上で行うことができます。 技術的な詳細は利用できません。 攻撃の巧妙度はやや高めです。 悪用の難易度が高いとされています。 この脆弱性の普及度は平均未満です。 さらに、悪用手段が存在します。 エクスプロイトツールの現在の価格はおそらく米ドルで約$0-$5kです。 MITRE ATT&CKプロジェクトは攻撃手法をT1600.001として定義しています。 アドバイザリは以下の内容を示しています:
An attacker with brief physical proximity can perform a high-speed, non-privileged read of a key’s 7-byte serial number (UID) using standard NFC reading equipment such as a smartphone. Subsequently, an ISO 14443-A emulator such as the Flipper Zero or Proxmark3 can be used to replay the captured UID to any mo.lock NFC unit, systematically iterating through the limited (16-bit) password verification value space to recover the authentication data needed to create a clone of the ignition key.
概念実証 として宣言されています。 アドバイザリでは以下の点が述べられています:
This vulnerability’s root cause is a combination of two critical design flaws. First, the use of a globally shared secret across all units means every mo.lock NFC lock serves as a cryptographic oracle capable of validating authentication attempts for any captured UID. Second, the password verification value space provides insufficient entropy and is trivial to exhaust.】のプラグインを提供しています。
製品
ベンダー
名前
バージョン
CPE 2.3
CPE 2.2
CVSSv4
VulDB ベクトル: 🔒VulDB 信頼性: 🔍
CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA ベクトル: 🔒
CVSSv3
VulDB ベースメタスコア: 2.0VulDB 一時的なメタスコア: 1.9
VulDB ベーススコア: 2.0
VulDB 一時的なスコア: 1.9
VulDB ベクトル: 🔒
VulDB 信頼性: 🔍
CNA ベーススコア: 2.0
CNA ベクトル: 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔒
VulDB 一時的なスコア: 🔒
VulDB 信頼性: 🔍
悪用
クラス: 弱い暗号化CWE: CWE-321 / CWE-320
CAPEC: 🔒
ATT&CK: 🔒
物理的: はい
ローカル: はい
リモート: いいえ
可用性: 🔒
ステータス: 概念実証
EPSS Score: 🔒
EPSS Percentile: 🔒
価格予測: 🔍
現在の価格評価: 🔒
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: 既知の緩和策なしステータス: 🔍
0day日時: 🔒
タイムライン
2025年11月29日 勧告が公開された2025年11月29日 VulDBエントリが作成された
2025年11月29日 VulDB の最終更新
ソース
勧告: office.dngr.us調査者: A. E. Graafstra, M. P. Faith, A. C. Buglione
ステータス: 未定義
CVE: CVE-2025-6666 (🔒)
GCVE (CVE): GCVE-0-2025-6666
GCVE (VulDB): GCVE-100-333785
EUVD: 🔒
scip Labs: https://www.scip.ch/en/?labs.20161013
エントリ
作成済み: 2025年11月29日 10:01更新済み: 2025年11月29日 11:15
変更: 2025年11月29日 10:01 (53), 2025年11月29日 10:03 (3), 2025年11月29日 10:22 (29), 2025年11月29日 11:15 (1)
完了: 🔍
提出者: drewbug
Cache ID: 216::103
提出
承諾済み
- 提出 #701162: motogadget mo.lock NFC CWE-290, CWE-327, CWE-1394 (〜によって drewbug)
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。