Una vulnerabilidad crítica de seguridad descubierta en el componente del servidor web de Esfoma ha expuesto miles de dispositivos domésticos inteligentes al acceso no autorizado, anulando efectivamente las protecciones básicas de autenticación en las implementaciones de la plataforma ESP-IDF.
El defecto, designado CVE-2025-57808 con una puntuación CVSS de 8.1, afecta la versión de espesor 2025.8.0 y permite a los atacantes evitar mecanismos de autenticación sin ningún conocimiento de credenciales legítimas.
La vulnerabilidad proviene de un error lógico fundamental en la verificación de autenticación básica HTTP dentro del componente web_server_idf de ESPHOME.
Al procesar las solicitudes de autenticación, la función de autenticación AsyncWebServerRequest :: Authenticate del sistema solo compara los bytes hasta la longitud del valor de autorización suplicada por el cliente, en lugar de validar la cadena de credencial completa.
Esta falla de implementación crea dos vectores de ataque distintos que comprometen completamente la seguridad del dispositivo.
El aspecto más severo de esta vulnerabilidad implica encabezados de autorización vacíos, donde los atacantes pueden obtener acceso completo simplemente enviando una solicitud con autorización: Básico seguido de una cadena vacía.
Analistas de Github identificado Que este vector de ataque no requiere conocimiento previo de los nombres de usuario o contraseñas, por lo que es particularmente peligroso para los atacantes adyacentes a la red.
Además, el defecto acepta coincidencias de contraseña parciales, lo que significa que un atacante que descubre que incluso una subcadena de la contraseña correcta puede autenticarse con éxito.
Mecanismo de ataque y explotación técnica
La base técnica de la vulnerabilidad se encuentra en la lógica de comparación de cadenas inadecuada que procesa credenciales codificadas en Base64.
Cuando un dispositivo legítimo se configura con credenciales como el usuario: SomERealLyLonGasps (codificado como dxnlcjpzb21lcmvhbgx5bg9uz3bhc3m =), la verificación de autenticación defectuosa acepta cadenas más cortas como dxnlcjpz (representación de usuarios: s) como credenciales válidas.
La explotación práctica requiere una sofisticación técnica mínima. Los atacantes pueden utilizar comandos curl simples para demostrar la vulnerabilidad:-
Curl -d- -h ‘Autorización: básico’ http: //target.local/
Este comando omite la autenticación por completo, devolviendo las respuestas HTTP 200 en lugar del estado 401 no autorizado esperado.
La vulnerabilidad se vuelve particularmente preocupante cuando la funcionalidad de actualización del aire (OTA) está habilitada, ya que los atacantes obtienen control completo sobre el firmware del dispositivo y la configuración de la configuración.
Elfoma abordó este defecto crítico en la versión 2025.8.1, implementando una validación de credencial adecuada que compara las cadenas de autorización completas en lugar de las coincidencias parciales.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
