VDB-328059 · Submeter #662768 · CVE-2025-11648

Tomofun Furbo 360/Furbo Mini GATT Interface URL TF_FQDN.json Elevação de Privilégios

CVSS Meta Pontuação Temporária	Preço atual do exploit (≈)	Nota de Interesse CTI
6.0	$0-$5k	0.00

Sumárioinformação

Uma vulnerabilidade, que foi classificada como crítico, foi encontrada em Tomofun Furbo 360 and Furbo Mini. Afectado é uma função desconhecida do ficheiro TF_FQDN.json do componente GATT Interface URL Handler. A manipulação com uma entrada desconhecida leva a Elevação de Privilégios. A vulnerabilidade é identificada como CVE-2025-11648. O ataque pode ser levado a cabo através da rede. Além disso, há uma exploração disponível.

Detalhesinformação

Uma vulnerabilidade, que foi classificada como crítico, foi encontrada em Tomofun Furbo 360 and Furbo Mini. Afectado é uma função desconhecida do ficheiro TF_FQDN.json do componente GATT Interface URL Handler. A manipulação com uma entrada desconhecida leva a Elevação de Privilégios. Usar a CWE para declarar o problema leva à CWE-918. O bug foi descoberto em 15/05/2025. A fraqueza foi publicada por Calvin Star, Julian B (skelet4r and dead1nfluence) com Software Secured. O aconselhamento é partilhado para download em github.com.

A vulnerabilidade é identificada como CVE-2025-11648. O ataque pode ser levado a cabo através da rede. Os detalhes técnicos estão disponíveis. A complexidade de um ataque é bastante elevada. Considera-se difícil explorar esta vulnerabilidade. A vulnerabilidade não é bem conhecida. Além disso, há uma exploração disponível. No momento, o preço atual de um exploit pode estar em torno de USD $0-$5k atualmente.

É declarado como prova de conceito. O exploit foi compartilhado para download em github.com. A falha permaneceu como um exploit zero-day não divulgado durante pelo menos 149 dias. .

Produtoinformação

Tipo

Firmware Software

Fabricante

Tomofun

Nome

CPE 2.3informação

CPE 2.2informação

CVSSv4informação

VulDB Vetor: 🔒
VulDB Fiabilidade: 🔍

CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA Vetor: 🔒

CVSSv3informação

VulDB Meta Pontuação Base: 6.2
VulDB Meta Pontuação Temporária: 6.0

VulDB Pontuação Base: 5.6
VulDB Pontuação Temporária: 5.1
VulDB Vetor: 🔒
VulDB Fiabilidade: 🔍

NVD Pontuação Base: 7.4
NVD Vetor: 🔒

CNA Pontuação Base: 5.6
CNA Vetor: 🔒

CVSSv2informação

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vector	Complexidade	Autenticação	Confidencialidade	Integridade	Disponibilidade
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear

VulDB Pontuação Base: 🔒
VulDB Pontuação Temporária: 🔒
VulDB Fiabilidade: 🔍

Exploraçãoinformação

Classe: Elevação de Privilégios
CWE: CWE-918
CAPEC: 🔒
ATT&CK: 🔒

Físico: Não
Local: Não
Remoto: Sim

Disponibilidade: 🔒
Acesso: Privado
Estado: Prova de conceito
Autor: Calvin Star (Skelet4r)
Linguagem de programação: 🔒
Descarregar: 🔒
Google Hack: 🔒

EPSS Score: 🔒
EPSS Percentile: 🔒

Tendência de preços: 🔍
Estimativa de preço atual: 🔒

0-Day	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Hoje	Desbloquear	Desbloquear	Desbloquear	Desbloquear

Inteligência de ameaçasinformação

Interesse: 🔍
Atores ativos: 🔍
Grupos APT ativos: 🔍

Contramedidasinformação

Recomendação: nenhuma medida conhecida
Estado: 🔍

Tempo 0-dia: 🔒

Linha do tempoinformação

15/05/2025 Vulnerabilidade encontrada
21/06/2025 +37 dias Fabricante informado
03/07/2025 +11 dias Fabricante confirmou
11/10/2025 +99 dias Aviso publicado
11/10/2025 +0 dias Entrada VulDB criada
28/10/2025 +17 dias Última atualização da VulDB

Fontesinformação

Aconselhamento: github.com
Pessoa: Calvin Star, Julian B (skelet4r, dead1nfluence)
Empresa: Software Secured
Estado: Não definido

CVE: CVE-2025-11648 (🔒)
GCVE (CVE): GCVE-0-2025-11648
GCVE (VulDB): GCVE-100-328059
EUVD: 🔒
scip Labs: https://www.scip.ch/en/?labs.20161013