Прошивки семейств устройств Tattile Smart+, Vega и Basic версии 1.181.5 и более ранних реализуют токен аутентификации (X-User-Token) с недостаточным сроком действия. Злоумышленник, получивший действительный токен (например, посредством перехвата, раскрытия журнала или повторного использования токена в общей системе), может продолжать проходить аутентификацию в интерфейсе управления до тех пор, пока токен не будет отозван, обеспечивая несанкционированный доступ к функциям и данным устройства.
Показать оригинальное описание (EN)
Tattile Smart+, Vega, and Basic device families firmware versions 1.181.5 and prior implement an authentication token (X-User-Token) with insufficient expiration. An attacker who obtains a valid token (for example via interception, log exposure, or token reuse on a shared system) can continue to authenticate to the management interface until the token is revoked, enabling unauthorized access to device functions and data.
Характеристики атаки
Последствия
Строка CVSS v4.0