Katalog CVE

CVE-2026-9220

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.23%

Percentyl 14 — wyżej niż 14% wszystkich znanych CVE

Streszczenie

Aplikacja Setracker2 Android Companion App w wersjach 3.1.5 i starszych szyfruje komunikację między zegarkiem a backendem przy użyciu statycznych, zakodowanych na stałe kluczy AES i wektorów inicjalizujących. Umożliwia to atakującemu odszyfrowanie ruchu sieciowego pochodzącego z zegarka Setracker2.

Ocena ryzyka

Odszyfrowanie ruchu może prowadzić do ujawnienia wrażliwych danych przesyłanych między urządzeniem a serwerem, takich jak lokalizacja czy dane osobowe użytkownika.

Rekomendacja

Należy niezwłocznie zaktualizować aplikację Setracker2 do najnowszej dostępnej wersji, która usuwa tę podatność, oraz unikać korzystania z wersji 3.1.5 i starszych.

Oryginalny opis (angielski, źródło NVD)

Setracker2 Android Companion App com.tgelec.setracker versions 3.1.5 and prior encrypts requests between the watch and its backend with static hardcoded AES keys and initialization vectors. This allows an attacker to decrypt Setracker2 watch traffic.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS