प्लेटफ़ॉर्म
other
घटक
alko-robot
में ठीक किया गया
8.0.22
8.0.23
CVE-2026-1612, AL-KO Robolinho अपडेट सॉफ़्टवेयर में हार्ड-कोडेड AWS एक्सेस और सीक्रेट कुंजी से संबंधित है। इन कुंजियों का उपयोग करके, कोई भी AL-KO के AWS बकेट तक पहुंच सकता है, जिससे संभावित रूप से ऐप की तुलना में अधिक एक्सेस प्राप्त हो सकता है। यह भेद्यता संस्करण 8.0.21.0610 को प्रभावित करती है। विक्रेता को सूचित किया गया था, लेकिन कोई आधिकारिक पैच अभी तक जारी नहीं किया गया है।
AL-KO रोबोलोन्हो अपडेट सॉफ्टवेयर (CVE-2026-1612) में एक गंभीर भेद्यता पाई गई है। इस सॉफ्टवेयर में हार्ड-कोडेड AWS एक्सेस और सीक्रेट की शामिल हैं, जो अनधिकृत व्यक्तियों को AL-KO के AWS बकेट तक पहुंचने की अनुमति देती हैं। यह एक्सेस बकेट के भीतर कुछ वस्तुओं के लिए कम से कम रीड अनुमतियां प्रदान करता है, और संभावित रूप से एप्लिकेशन द्वारा सामान्य रूप से रखे जाने वाले अनुमतियों से अधिक व्यापक पहुंच प्रदान करता है। इस भेद्यता की गंभीरता इस तथ्य में निहित है कि इन कुंजियों द्वारा सीधे पहुंच प्रदान की जाती है, जिससे डेटा के लीक या छेड़छाड़ का जोखिम बढ़ जाता है। संस्करण 8.0.21.0610 और 8.0.22.0524 को भेद्य होने की पुष्टि की गई है, लेकिन प्रभावित संस्करणों की पूरी सीमा अज्ञात है क्योंकि विक्रेता ने प्रतिक्रिया नहीं दी है।
इस भेद्यता के बारे में जानने वाला एक हमलावर रोबोलोन्हो अपडेट सॉफ्टवेयर से हार्ड-कोडेड AWS कुंजियों को निकाल सकता है। एक बार जब कुंजियाँ प्राप्त हो जाती हैं, तो हमलावर AWS कमांड-लाइन टूल या SDK लाइब्रेरी का उपयोग करके AL-KO के AWS बकेट के साथ सीधे इंटरैक्ट कर सकता है। प्रदान की गई पहुंच, कम से कम रीड एक्सेस, हमलावर को फ़ाइलें डाउनलोड करने, ऑब्जेक्ट को सूचीबद्ध करने और संभावित रूप से गोपनीय जानकारी प्राप्त करने की अनुमति देती है। AWS बकेट पर उचित प्रमाणीकरण या प्राधिकरण की कमी जोखिम को बढ़ाती है। शोषण की जटिलता कम है, जिसके लिए न्यूनतम तकनीकी कौशल की आवश्यकता होती है।
Users of AL-KO Robolinho robotic lawnmowers who have installed the affected update software versions (8.0.21.0610–8.0.22.0524) are at immediate risk. Shared hosting environments or deployments where multiple devices share the same network segment could amplify the impact, as a compromised device could be used to access the AWS bucket from within the network.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.05% (17% शतमक)
CISA SSVC
विक्रेता की प्रतिक्रिया की कमी और आधिकारिक पैच की अनुपस्थिति के कारण, तत्काल शमन महत्वपूर्ण है। रोबोलोन्हो उपयोगकर्ताओं को दृढ़ता से सलाह दी जाती है कि वे संस्करण 8.0.21.0610 और 8.0.22.0524 का उपयोग न करें। अनधिकृत पहुंच को रोकने के लिए डिवाइस को इंटरनेट से डिस्कनेक्ट करने की सिफारिश की जाती है। संदिग्ध गतिविधि के लिए AL-KO के AWS बकेट की निगरानी करें। सुरक्षा अपडेट का अनुरोध करने और इस भेद्यता के बारे में अपनी चिंताओं को व्यक्त करने के लिए सीधे AL-KO से संपर्क करें। आधिकारिक फिक्स जारी होने तक, AL-KO के AWS बकेट में संग्रहीत डेटा की सुरक्षा जोखिम में है।
Actualizar el software de actualización de AL-KO Robolinho a una versión corregida. La vulnerabilidad consiste en claves de AWS codificadas de forma rígida, por lo que la actualización debe eliminar estas claves y utilizar un método más seguro para acceder a los recursos de AWS. Contactar con el fabricante para obtener información sobre las versiones corregidas.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
संस्करण 8.0.21.0610 और 8.0.22.0524 को भेद्य होने की पुष्टि की गई है। अन्य संस्करण भी प्रभावित हो सकते हैं।
एक हमलावर AL-KO के AWS बकेट में संग्रहीत किसी भी डेटा तक पहुंच सकता है, जिसमें संभावित रूप से कॉन्फ़िगरेशन जानकारी, उपयोगकर्ता डेटा और अन्य संवेदनशील विवरण शामिल हैं।
डिवाइस को इंटरनेट से डिस्कनेक्ट करें और सुरक्षा अपडेट का अनुरोध करने के लिए AL-KO से संपर्क करें।
वर्तमान में, इस बारे में कोई सार्वजनिक जानकारी उपलब्ध नहीं है कि विक्रेता ने भेद्यता प्रकटीकरण पर प्रतिक्रिया क्यों नहीं दी है।
अपने बकेट में असामान्य गतिविधि का पता लगाने के लिए AWS निगरानी टूल का उपयोग करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।