VDB-328057 · Submeter #661900 · CVE-2025-11646

Tomofun Furbo 360/Furbo Mini GATT Service Elevação de Privilégios

CVSS Meta Pontuação Temporária	Preço atual do exploit (≈)	Nota de Interesse CTI
6.7	$0-$5k	0.00

Sumárioinformação

Foi detectada uma vulnerabilidade classificada como crítico em Tomofun Furbo 360 and Furbo Mini. A função afetada é desconhecida do componente GATT Service. O tratamento leva a Elevação de Privilégios. Esta vulnerabilidade está registrada como CVE-2025-11646. O ataque só pode ser executado dentro da rede local. Além do mais, um exploit está disponível.

Detalhesinformação

Foi detectada uma vulnerabilidade classificada como crítico em Tomofun Furbo 360 and Furbo Mini. A função afetada é desconhecida do componente GATT Service. O tratamento leva a Elevação de Privilégios. Declarar o problema usando CWE resulta em CWE-284. A vulnerabilidade foi identificada em 15/05/2025. O problema foi divulgado por Calvin Star, Julian B (skelet4r and dead1nfluence) com Software Secured. O boletim está compartilhado para download em github.com.

Esta vulnerabilidade está registrada como CVE-2025-11646. O ataque só pode ser executado dentro da rede local. Detalhes técnicos não estão disponíveis. Esta vulnerabilidade tem popularidade abaixo da média. Além do mais, um exploit está disponível. O exploit está disponível publicamente e pode ser explorado. Neste momento, o preço atual de um exploit pode ser cerca de USD $0-$5k agora. O projecto MITRE ATT&CK declara a técnica de ataque como T1068.

Está declarado como prova de conceito. O exploit está compartilhado para download em github.com. A vulnerabilidade foi tratada como um exploit zero-day não público por pelo menos 149 dias.

Produtoinformação

Tipo

Firmware Software

Fabricante

Tomofun

Nome

CPE 2.3informação

CPE 2.2informação

CVSSv4informação

VulDB Vetor: 🔒
VulDB Fiabilidade: 🔍

CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA Vetor: 🔒

CVSSv3informação

VulDB Meta Pontuação Base: 6.9
VulDB Meta Pontuação Temporária: 6.7

VulDB Pontuação Base: 6.3
VulDB Pontuação Temporária: 5.7
VulDB Vetor: 🔒
VulDB Fiabilidade: 🔍

NVD Pontuação Base: 8.1
NVD Vetor: 🔒

CNA Pontuação Base: 6.3
CNA Vetor: 🔒

CVSSv2informação

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vector	Complexidade	Autenticação	Confidencialidade	Integridade	Disponibilidade
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear

VulDB Pontuação Base: 🔒
VulDB Pontuação Temporária: 🔒
VulDB Fiabilidade: 🔍

Exploraçãoinformação

Classe: Elevação de Privilégios
CWE: CWE-284 / CWE-266
CAPEC: 🔒
ATT&CK: 🔒

Físico: Não
Local: Não
Remoto: Parcial

Disponibilidade: 🔒
Acesso: Público
Estado: Prova de conceito
Autor: Julian B (dead1nfluence)
Linguagem de programação: 🔒
Descarregar: 🔒

EPSS Score: 🔒
EPSS Percentile: 🔒

Tendência de preços: 🔍
Estimativa de preço atual: 🔒

0-Day	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Hoje	Desbloquear	Desbloquear	Desbloquear	Desbloquear

Inteligência de ameaçasinformação

Interesse: 🔍
Atores ativos: 🔍
Grupos APT ativos: 🔍

Contramedidasinformação

Recomendação: nenhuma medida conhecida
Estado: 🔍

Tempo 0-dia: 🔒

Linha do tempoinformação

15/05/2025 Vulnerabilidade encontrada
21/06/2025 +37 dias Fabricante informado
03/07/2025 +11 dias Fabricante confirmou
11/10/2025 +99 dias Aviso publicado
11/10/2025 +0 dias Entrada VulDB criada
27/10/2025 +16 dias Última atualização da VulDB

Fontesinformação

Aconselhamento: github.com
Pessoa: Calvin Star, Julian B (skelet4r, dead1nfluence)
Empresa: Software Secured
Estado: Não definido

CVE: CVE-2025-11646 (🔒)
GCVE (CVE): GCVE-0-2025-11646
GCVE (VulDB): GCVE-100-328057
EUVD: 🔒
scip Labs: https://www.scip.ch/en/?labs.20161013