motogadget mo.lock Ignition Lock até 20251125 NFC Encriptação fraca
| CVSS Meta Pontuação Temporária | Preço atual do exploit (≈) | Nota de Interesse CTI |
|---|---|---|
| 1.9 | $0-$5k | 0.00 |
Sumário
Uma vulnerabilidade foi encontrada em motogadget mo.lock Ignition Lock até 20251125. Foi classificada como problemático. Afetado é uma função desconhecida do componente NFC Handler. O tratamento leva a Encriptação fraca. Esta vulnerabilidade é conhecida como CVE-2025-6666. É possível lançar o ataque ao dispositivo físico. Além disso, existe um exploit disponível.
Detalhes
Uma vulnerabilidade foi encontrada em motogadget mo.lock Ignition Lock até 20251125. Foi classificada como problemático. Afetado é uma função desconhecida do componente NFC Handler. O tratamento leva a Encriptação fraca. Usar CWE para declarar o problema leva a CWE-321. O problema foi divulgado por A. E. Graafstra, M. P. Faith and A. C. Buglione. O comunicado está disponível para download em office.dngr.us.
Esta vulnerabilidade é conhecida como CVE-2025-6666. É possível lançar o ataque ao dispositivo físico. Não há detalhes técnicos disponíveis. A complexidade de um ataque é relativamente alta. A explorabilidade é considerada difícil. A popularidade desta vulnerabilidade está abaixo da média. Além disso, existe um exploit disponível. Atualmente, o preço atual de um exploit pode ser aproximadamente USD $0-$5k no momento. O projecto MITRE ATT&CK declara a técnica de ataque como T1600.001. O comunicado destaca:
An attacker with brief physical proximity can perform a high-speed, non-privileged read of a key’s 7-byte serial number (UID) using standard NFC reading equipment such as a smartphone. Subsequently, an ISO 14443-A emulator such as the Flipper Zero or Proxmark3 can be used to replay the captured UID to any mo.lock NFC unit, systematically iterating through the limited (16-bit) password verification value space to recover the authentication data needed to create a clone of the ignition key.
Está declarado como prova de conceito. A recomendação aponta:
This vulnerability’s root cause is a combination of two critical design flaws. First, the use of a globally shared secret across all units means every mo.lock NFC lock serves as a cryptographic oracle capable of validating authentication attempts for any captured UID. Second, the password verification value space provides insufficient entropy and is trivial to exhaust.
Produto
Fabricante
Nome
Versão
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vetor: 🔒VulDB Fiabilidade: 🔍
CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA Vetor: 🔒
CVSSv3
VulDB Meta Pontuação Base: 2.0VulDB Meta Pontuação Temporária: 1.9
VulDB Pontuação Base: 2.0
VulDB Pontuação Temporária: 1.9
VulDB Vetor: 🔒
VulDB Fiabilidade: 🔍
CNA Pontuação Base: 2.0
CNA Vetor: 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complexidade | Autenticação | Confidencialidade | Integridade | Disponibilidade |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Pontuação Base: 🔒
VulDB Pontuação Temporária: 🔒
VulDB Fiabilidade: 🔍
Exploração
Classe: Encriptação fracaCWE: CWE-321 / CWE-320
CAPEC: 🔒
ATT&CK: 🔒
Físico: Sim
Local: Sim
Remoto: Não
Disponibilidade: 🔒
Estado: Prova de conceito
EPSS Score: 🔒
EPSS Percentile: 🔒
Tendência de preços: 🔍
Estimativa de preço atual: 🔒
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoje | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligência de ameaças
Interesse: 🔍Atores ativos: 🔍
Grupos APT ativos: 🔍
Contramedidas
Recomendação: nenhuma medida conhecidaEstado: 🔍
Tempo 0-dia: 🔒
Linha do tempo
29/11/2025 Aviso publicado29/11/2025 Entrada VulDB criada
29/11/2025 Última atualização da VulDB
Fontes
Aconselhamento: office.dngr.usPessoa: A. E. Graafstra, M. P. Faith, A. C. Buglione
Estado: Não definido
CVE: CVE-2025-6666 (🔒)
GCVE (CVE): GCVE-0-2025-6666
GCVE (VulDB): GCVE-100-333785
EUVD: 🔒
scip Labs: https://www.scip.ch/en/?labs.20161013
Entrada
Criado: 29/11/2025 10h01Atualizado: 29/11/2025 11h15
Ajustamentos: 29/11/2025 10h01 (53), 29/11/2025 10h03 (3), 29/11/2025 10h22 (29), 29/11/2025 11h15 (1)
Completo: 🔍
Submissor: drewbug
Cache ID: 216::103
Submeter
Aceite
- Submeter #701162: motogadget mo.lock NFC CWE-290, CWE-327, CWE-1394 (de drewbug)
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
Ainda sem comentários. Idiomas: pt + es + en.
Por favor, inicie sessão para comentar.