Kritische Authentifizierungslücke in Meshtastic-Mesh-Netzwerklösung (CVE-2025-55292)
⚠️ CVE-Referenzen:
CVE-2025-55292
Zusammenfassung
Die Meshtastic-Mesh-Netzwerklösung weist eine Authentifizierungslücke auf, da Knoten statt über ihren öffentlichen Schlüssel über eine aus der MAC-Adresse abgeleitete NodeID identifiziert werden. Angreifer können so den unverschlüsselten HAM-Modus ausnutzen, um gefälschte NodeInfo-Daten einzuschleusen und so die Vertraulichkeit und Authentizität der Kommunikation im Mesh-Netzwerk zu kompromittieren. Ein Patch ist in der neuesten Firmware-Version verfügbar.
Meshtastic - Firmware - HIGH - CVE-2025-55292.
The Meshtastic networking solution presents an authentication bypass vulnerability due to its architecture, where a Node is identified by a NodeID derived from the MAC address instead of its public key. This weakness allows an attacker to exploit the HAM mode, which lacks encryption, and forge NodeInfo for a victim node. By doing so, the attacker can manipulate NodeDB data and change node details, enabling ongoing attacks by repeatedly sending forged information. The issue compromises the confidentiality and authenticity of messaging within the mesh network. A solution is available in the latest firmware update.
Quelle: securityvulnerability.io