CVE-2026-13768
KrytyczneCVSS 10.0Streszczenie
Urządzenia Gardyn ujawniają uprzywilejowany klucz iothubowner. Dostęp do tego klucza umożliwia atakującemu wywołanie funkcji IoTHub Registry Manager, która zwraca informacje o połączeniu dla wszystkich urządzeń Gardyn Home Kit i Studio. Ponadto klucz ten pozwala na wykonywanie dowolnych poleceń na konkretnym podłączonym urządzeniu oraz potencjalnie na przemieszczanie się do innych urządzeń w sieci ofiary.
Ocena ryzyka
Ryzyko obejmuje nieautoryzowany dostęp do wrażliwych danych konfiguracyjnych wszystkich urządzeń Gardyn, zdalne wykonanie kodu na wybranym urządzeniu oraz możliwość eskalacji ataku na inne urządzenia w sieci lokalnej, co może prowadzić do naruszenia prywatności i integralności systemu.
Rekomendacja
Należy natychmiast zaktualizować oprogramowanie sprzętowe urządzeń Gardyn do najnowszej wersji, która usuwa tę podatność. Dodatkowo zaleca się ograniczenie dostępu do klucza iothubowner oraz monitorowanie sieci pod kątem podejrzanych działań.
Oryginalny opis (angielski, źródło NVD)
Gardyn devices expose a privileged iothubowner key. Access to this key will allow a malicious user to invoke an IoTHub Registry Manager function which returns connection information for all Gardyn Home Kit and Studio devices. Access to this key also allows a malicious user to execute arbitrary commands on a specific connected device and may allow the malicious user to pivot to other devices on the user's network.

