Aviso publicado por: Equipo de seguridad de EZVIZ

Fecha de lanzamiento inicial: 2022-09-14 

Vulnerabilidades y versiones afectadas: 

Algunos productos de EZVIZ se han visto afectados por las siguientes vulnerabilidades de seguridad: 

[1] Vulnerabilidad de desbordamiento del búfer en pila (CVE-2022-2471) 

[2] Vulnerabilidad de inicialización de memoria inadecuada (CVE-2022-2472)

Vulnerabilidades de la API de EZVIZ Cloud: 

[3] Vulnerabilidad de referencia directa a objetos inseguros en tres puntos finales de la API

Progreso de la corrección: 

Las vulnerabilidades notificadas [1] y [2] se han corregido en el último firmware de EZVIZ, que se ha publicado para que los usuarios afectados actualicen sus productos a través de la aplicación EZVIZ. La vulnerabilidad notificada [3] se ha corregido en la plataforma en la nube.

Actualización del firmware de los dispositivos:

Los usuarios con dispositivos afectados pueden la actualizar el firmware a través de su aplicación EZVIZ en la página específica de su dispositivo para corregir las vulnerabilidades. Los usuarios deberían haber recibido una notificación push sobre la actualización y pueden seguir las instrucciones de la página de actualización para realizarla correctamente.

Fuente de información sobre la vulnerabilidad:

BitDefender informó de las vulnerabilidades al equipo de seguridad de EZVIZ.

Contáctenos:

Si cree que ha descubierto una vulnerabilidad de seguridad, informe a EZVIZ a través de security@ezvizlife.com. 

EZVIZ quiere agradecer a todos los investigadores y profesionales de la seguridad que ayudan a probar, identificar y mitigar las posibles vulnerabilidades de los productos EZVIZ, para asegurarnos de que seguimos protegiendo respetuosamente a las personas y los hogares.