CVE-2026-47154
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 16 — wyżej niż 16% wszystkich znanych CVE
Streszczenie
W EmberZNet w wersji 9.0.2 i wcześniejszych, źle sformułowana wiadomość GetProfileResponse może prowadzić do odczytów poza zakresem podczas iteracji po wpisach interwałowych, co skutkuje zakończeniem procesu. Tego typu wiadomości muszą pochodzić z urządzenia, które już dołączyło do sieci.
Ocena ryzyka
Ryzyko dla organizacji polega na możliwości awarii procesów związanych z obsługą urządzeń, co może prowadzić do przerw w działaniu systemu. Nie zaobserwowano wycieku informacji do nadawcy.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji EmberZNet, aby zminimalizować ryzyko związane z tą podatnością. Należy również monitorować urządzenia wspierające klaster Simple Metering.
Oryginalny opis (angielski, źródło NVD)
In EmberZNet v9.0.2 and earlier, a malformed GetProfileResponse message can trigger out-of-bounds reads while iterating interval entries and terminate the process. These messages must come from a device that has already joined the network, and no information leakage back to the sender was observed. Only devices supporting the Simple Metering cluster may be impacted.

