motogadget mo.lock Ignition Lock до 20251125 NFC слабое шифрование
| CVSS Meta Temp Score | Текущая цена эксплойта (≈) | Балл интереса CTI |
|---|---|---|
| 1.9 | $0-$5k | 0.00 |
Сводка
Уязвимость была найдена в motogadget mo.lock Ignition Lock до 20251125. Она была оценена как проблематичный. Вовлечена неизвестная функция компонента NFC Handler. Манипуляция приводит к слабое шифрование. Эта уязвимость обозначается как CVE-2025-6666. Можно осуществить атаку на физическое устройство. Кроме того, имеется доступный эксплойт.
Подробности
Уязвимость была найдена в motogadget mo.lock Ignition Lock до 20251125. Она была оценена как проблематичный. Вовлечена неизвестная функция компонента NFC Handler. Манипуляция приводит к слабое шифрование. Использование CWE для описания проблемы приводит к CWE-321. Слабость была опубликована специалистом A. E. Graafstra, M. P. Faith and A. C. Buglione. Консультация доступна по адресу office.dngr.us.
Эта уязвимость обозначается как CVE-2025-6666. Можно осуществить атаку на физическое устройство. Техническая информация отсутствует. Сложность атаки довольно высока. Известно, что эксплуатация является сложной. Популярность этой уязвимости ниже среднего. Кроме того, имеется доступный эксплойт. В настоящее время текущая цена эксплойта может составлять примерно USD $0-$5k. Проект MITRE ATT&CK объявляет технику атаки как T1600.001. В уведомлении отмечается:
An attacker with brief physical proximity can perform a high-speed, non-privileged read of a key’s 7-byte serial number (UID) using standard NFC reading equipment such as a smartphone. Subsequently, an ISO 14443-A emulator such as the Flipper Zero or Proxmark3 can be used to replay the captured UID to any mo.lock NFC unit, systematically iterating through the limited (16-bit) password verification value space to recover the authentication data needed to create a clone of the ignition key.
Объявляется Доказательство концепции. В уведомлении отмечается:
This vulnerability’s root cause is a combination of two critical design flaws. First, the use of a globally shared secret across all units means every mo.lock NFC lock serves as a cryptographic oracle capable of validating authentication attempts for any captured UID. Second, the password verification value space provides insufficient entropy and is trivial to exhaust.
Продукт
Поставщик
Имя
Версия
CPE 2.3
CPE 2.2
CVSSv4
VulDB Вектор: 🔒VulDB Надёжность: 🔍
CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA Вектор: 🔒
CVSSv3
VulDB Meta Base Score: 2.0VulDB Meta Temp Score: 1.9
VulDB Базовый балл: 2.0
VulDB Временная оценка: 1.9
VulDB Вектор: 🔒
VulDB Надёжность: 🔍
CNA Базовый балл: 2.0
CNA Вектор: 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Вектор | Сложность | Аутентификация | Конфиденциальность | Целостность | Доступность |
|---|---|---|---|---|---|
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
VulDB Базовый балл: 🔒
VulDB Временная оценка: 🔒
VulDB Надёжность: 🔍
Эксплуатация
Класс: слабое шифрованиеCWE: CWE-321 / CWE-320
CAPEC: 🔒
ATT&CK: 🔒
Физический: Да
Локальный: Да
Удалённый: Нет
Доступность: 🔒
Статус: Доказательство концепции
EPSS Score: 🔒
EPSS Percentile: 🔒
Прогноз цен: 🔍
Оценка текущей цены: 🔒
| 0-Day | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
|---|---|---|---|---|
| Сегодня | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
Разведка угроз
Интерес: 🔍Активные акторы: 🔍
Активные группы APT: 🔍
Контрмеры
Рекомендация: о смягчении не известноСтатус: 🔍
0-дневное время: 🔒
Хронология
29.11.2025 Консультация опубликована29.11.2025 Запись VulDB создана
29.11.2025 Последнее обновление VulDB
Источники
Консультация: office.dngr.usИсследователь: A. E. Graafstra, M. P. Faith, A. C. Buglione
Статус: Не определено
CVE: CVE-2025-6666 (🔒)
GCVE (CVE): GCVE-0-2025-6666
GCVE (VulDB): GCVE-100-333785
EUVD: 🔒
scip Labs: https://www.scip.ch/en/?labs.20161013
Вход
Создано: 29.11.2025 10:01Обновлено: 29.11.2025 11:15
Изменения: 29.11.2025 10:01 (53), 29.11.2025 10:03 (3), 29.11.2025 10:22 (29), 29.11.2025 11:15 (1)
Завершенный: 🔍
Отправитель: drewbug
Cache ID: 216::103
Отправить
принято
- Отправить #701162: motogadget mo.lock NFC CWE-290, CWE-327, CWE-1394 (по drewbug)
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
Комментариев пока нет. Языки: ru + be + en.
Пожалуйста, войдите в систему, чтобы прокомментировать.