Clé AWS codée en dur dans le logiciel de mise à jour AL-KO Robolinho

Le logiciel de mise à jour AL-KO Robolinho contient des clés d'accès et secrètes AWS codées en dur qui permettent à quiconque d'accéder au bucket AWS d'AL-KO. L'utilisation directe des clés pourrait donner à l'attaquant un accès plus important que l'application elle-même. La clé accorde AU MOINS un accès en lecture à certains des objets du bucket. Le fournisseur a été informé rapidement de cette vulnérabilité, mais n'a pas répondu avec les détails de la vulnérabilité ou la plage de versions vulnérables. Seule la version 8.0.21.0610 a été testée et confirmée comme vulnérable, les autres versions n'ont pas été testées et pourraient également être vulnérables.