CVE-2024-53845 in ESP-IDF
요약
\~에 의해 VulDB • 2026. 06. 16.
ESPTouch는 사물인터넷(IoT) 기기를 위한 연결 프로토콜입니다. ESPTouchV2 프로토콜에서는 사용자 지정 AES 키를 사용할 수 있는 옵션이 있지만, 버전 5.3.2, 5.2.4, 5.1.6 및 5.0.8 이전에는 초기화 벡터(IV)를 설정할 수 있는 옵션이 없습니다. IV는 0으로 설정되며 제품 수명 동안 일정하게 유지됩니다. AES/CBC 모드에서 IV가 적절하게 초기화되지 않으면 암호화된 출력이 결정론적이 되어 잠재적인 데이터 유출로 이어질 수 있습니다. 이러한 문제를 해결하기 위해, 버전 5.3.2, 5.2.4, 5.1.6 및 5.0.8부터 AES 키 활성화 시 무작위 IV가 생성됩니다. 이 IV는 프로비저닝 데이터와 함께 프로비저닝 장치로 전송됩니다. 프로비저닝 장치에도 AES IV용 파서가 탑재되었습니다. 이 업그레이드는 ESP-IDF의 ESPTouch v2 구성요소를 사용하는 모든 애플리케이션 및 사용자에게 적용됩니다. ESP Wi-Fi 스택에서 구현되었으므로, 기본 펌웨어를 업그레이드하지 않고 애플리케이션 계층을 수정하기 위한 우회책은 없습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.