CVE-2024-42483

ESP-NOW Component provides a connectionless Wi-Fi communication protocol. An replay attacks vulnerability was discovered in the implementation of the ESP-NOW because the caches is not differentiated by message types, it is a single, shared resource for all kinds of messages, whether they are broadcast or unicast, and regardless of whether they are ciphertext or plaintext. This can result an attacker to clear the cache of its legitimate entries, there by creating an opportunity to re-inject previously captured packets. This vulnerability is fixed in 2.5.2.
Configurations

Configuration 1 (hide)

cpe:2.3:a:espressif:esp-now:*:*:*:*:*:*:*:*

History

23 Sep 2024, 14:06

Type Values Removed Values Added
CPE cpe:2.3:a:espressif:esp-now:*:*:*:*:*:*:*:*
Summary
  • (es) El componente ESP-NOW proporciona un protocolo de comunicación Wi-Fi sin conexión. Se descubrió una vulnerabilidad de ataques de repetición en la implementación de ESP-NOW porque las cachés no se diferencian por tipos de mensajes, son un único recurso compartido para todo tipo de mensajes, ya sean de difusión o unidifusión, y sin importar si son texto cifrado o texto plano. Esto puede provocar que un atacante borre la caché de sus entradas legítimas, creando así una oportunidad para volver a inyectar paquetes capturados previamente. Esta vulnerabilidad se corrigió en la versión 2.5.2.
CWE CWE-345
First Time Espressif
Espressif esp-now
References () https://github.com/espressif/esp-now/commit/4e30db50d541b2909d278ef0db05de1a3d7190ef - () https://github.com/espressif/esp-now/commit/4e30db50d541b2909d278ef0db05de1a3d7190ef - Patch
References () https://github.com/espressif/esp-now/security/advisories/GHSA-wf6q-c2xr-77xj - () https://github.com/espressif/esp-now/security/advisories/GHSA-wf6q-c2xr-77xj - Exploit, Third Party Advisory

12 Sep 2024, 15:18

Type Values Removed Values Added
New CVE

Information

Published : 2024-09-12 15:18

Updated : 2024-09-23 14:06


NVD link : CVE-2024-42483

Mitre link : CVE-2024-42483

CVE.ORG link : CVE-2024-42483


JSON object : View

Products Affected

espressif

  • esp-now
CWE
CWE-345

Insufficient Verification of Data Authenticity

CWE-349

Acceptance of Extraneous Untrusted Data With Trusted Data