Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w aplikacji iZZi connect i uczestniczył w jej koordynacji. Aplikacja zawiera zakodowane na stałe, niezmienne we wszystkich istalacjach, dane logowania do technicznego konta z dostępem do kolejki MQTT. Kolejka ta jest również wykorzystywana przez powiązaną z aplikacją fizyczną centralę rekuperacji. Wykorzystanie tej podatności potencjalnie umożliwia nieautoryzowany dostęp do zarządzania i odczytu parametrów centrali rekuperacyjnej "reQnet iZZi".
Podatność, której nadano identyfikator CVE-2024-0390, została potwierdzona przez producenta i naprawiona w wersji 2024010401 opublikowanej 08.01.2024 r.