CVE-2025-10910: Zdalne przejęcie kontroli nad urządzeniami Govee

Co najmniej jeden model popularnego oświetlenia smart home marki Govee jest podatny na zdalne przejęcie przez operatora. Podatność, zidentyfikowana jako CVE-2025-10910 (Common Vulnerabilities and Exposures, identyfikator publicznie znanej luki), pozwala na usunięcie urządzenia z konta prawowitego właściciela i przypisanie go do konta napastnika ^{1 2}. Proces ujawnienia luki był koordynowany przez polski zespół CERT Polska ³.

Analiza wskazuje na błąd w logice autoryzacji po stronie chmury producenta. Problem dotyczy procesu parowania urządzeń, który nie weryfikuje kryptograficznie, czy żądanie przypisania urządzenia pochodzi od jego fizycznego posiadacza. Producent wdrożył już poprawki po stronie serwera oraz aktualizacje oprogramowania dla zagrożonego modelu ⁴.

TL;DR

• Produkt: Urządzenia Govee, podatność potwierdzona dla lampy Govee H6056 ⁵. Inne modele mogą być również zagrożone ⁶.
• Wektor ataku Błąd w procesie parowania urządzenia z chmurą producenta ¹. Atakujący może powiązać istniejące urządzenie online z własnym kontem ⁷.
• Identyfikator luki: CVE-2025-10910.
• Konsekwencje: Pełne przejęcie kontroli nad urządzeniem oraz usunięcie go z konta prawowitego właściciela ^{2 8}.
• Kogo dotyczy: Użytkownicy urządzeń Govee podłączonych do internetu, w szczególności modelu H6056 z oprogramowaniem w wersji 1.08.13 i starszym ^{5 9}.
• Pierwszy ruch reagowania: Ręczna weryfikacja i aktualizacja oprogramowania urządzenia za pomocą aplikacji Govee Home ^{10 11}.

Wektor ataku

Podatność leży w serwerowym interfejsie API, który odpowiada za powiązanie urządzenia z kontem użytkownika w chmurze Govee. Proces ten pozwala na przypisanie urządzenia na podstawie zestawu identyfikatorów: device, sku, type oraz pola value ^{12 13}.

Kluczowy błąd polega na tym, że pole value jest obliczane po stronie klienta (w aplikacji) i nie jest kryptograficznie powiązane z żadnym unikalnym sekretem pochodzącym bezpośrednio z fizycznego urządzenia ^{14 15 16}. Taki błąd projektowy klasyfikowany jest jako CWE-639 (Common Weakness Enumeration — klasyfikacja typów luk, w tym przypadku obejście autoryzacji przez kontrolę klucza przez użytkownika). W praktyce oznacza to, że atakujący, który pozna lub odgadnie wymagane identyfikatory, może wysłać spreparowane żądanie do serwerów Govee i „ukraść” urządzenie, które jest już online i przypisane do innego użytkownika ^{7 17}.

Skutkiem udanego ataku jest całkowite przejęcie kontroli nad urządzeniem ². Zostaje ono usunięte z konta prawowitego właściciela i pojawia się na koncie atakującego ^{8 18}. Od tego momentu właściciel traci możliwość sterowania swoim sprzętem.

Podatność została jednoznacznie potwierdzona dla lampy Govee H6056 z oprogramowaniem w wersji 1.08.13 ^{5 19}. Producent poinformował jednak, że weryfikuje inne potencjalnie zagrożone modele urządzeń komunikujących się z chmurą ^{6 20}. Urządzenia Govee są popularne na polskim rynku, dostępne m.in. na platformach e-commerce i w sklepach z elektroniką, dlatego polscy użytkownicy powinni zweryfikować posiadane modele.

Wskaźniki kompromitacji

Nie istnieją publiczne wskaźniki kompromitacji (IoC — Indicators of Compromise: hashe plików, adresy IP, domeny) związane z tą podatnością, ponieważ jest to błąd w logice aplikacji, a nie kampania wykorzystująca konkretną infrastrukturę.

Dla użytkownika końcowego jedynym wskaźnikiem udanego ataku byłaby nagła utrata kontroli nad urządzeniem w aplikacji Govee Home. Urządzenie mogłoby zniknąć z listy sparowanych lub zacząć działać w nieoczekiwany sposób, np. zmieniając kolory lub włączając się i wyłączając bez polecenia właściciela.

Co zrobić w 24–48h

Producent Govee podjął działania mitygujące. Wdrożono poprawki po stronie serwera oraz rozpoczęto dystrybucję automatycznych aktualizacji oprogramowania dla modelu H6056 ^{4 21}.

Według informacji od producenta, większość urządzeń H6056 została już zaktualizowana automatycznie ²². Zaleca się jednak ręczną weryfikację i, w razie potrzeby, instalację poprawki. Użytkownicy, których urządzenia nie zaktualizowały się same, muszą przeprowadzić ten proces manualnie ¹⁰.

Kroki ręcznej aktualizacji dla modelu H6056:

1. Upewnij się, że urządzenie jest podłączone do internetu.
2. Otwórz aplikację Govee Home na smartfonie.
3. Wybierz kartę urządzenia H6056, aby przejść do jego szczegółów.
4. Dotknij ikony ustawień w prawym górnym rogu ekranu.
5. Przejdź do sekcji „Informacje o urządzeniu” (Device Information).
6. Jeśli dostępna jest aktualizacja, dotknij przycisku „Aktualizuj” (Update), aby zainstalować poprawkę ¹¹.

Należy podkreślić, że produkty Govee H6056 z wersjami oprogramowania 1.00.10 lub 1.00.11 nie mogą otrzymać tej aktualizacji z powodu ograniczeń sprzętowych ²³. Takie urządzenia pozostają podatne na atak. Rekomendowanym podejściem w takim przypadku jest zaprzestanie korzystania z funkcji chmurowych lub całkowite odłączenie urządzenia od sieci. Powyższe kroki nie zastępują pełnej analizy ryzyka w środowisku firmowym.

Źródła

Zobacz też

• CVE-2025-8890: Wstrzyknięcie poleceń w routerach SDMC NE6037
• Luka w Chrome (CVE-2026-9120) pozwala na zdalne wykonanie kodu
• CVE-2026-1220: Pilna aktualizacja Chrome, luka dotyczy też Edge i Opery

Footnotes

1. Podatność CVE-2025-10910 umożliwia zdalnemu atakującemu powiązanie istniejącego, podłączonego do Internetu urządzenia Govee z kontem atakującego. — https://cert.pl/posts/2025/12/CVE-2025-10910/ ↩ ↩²

2. Przejęcie kontroli nad urządzeniem Govee skutkuje pełnym przejęciem kontroli nad urządzeniem oraz usunięciem go z konta jego prawowitego właściciela. — https://cert.pl/posts/2025/12/CVE-2025-10910/ ↩ ↩² ↩³

3. CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu urządzeń Govee i koordynował proces ujawniania informacji. — https://cert.pl/posts/2025/12/CVE-2025-10910/ ↩

4. Producent wdrożył poprawki zabezpieczeń po stronie serwera i automatyczne aktualizacje oprogramowania dla modelu H6056. — https://cert.pl/posts/2025/12/CVE-2025-10910/ ↩ ↩²

5. Podatność została potwierdzona na urządzeniu Govee H6056 (lampa) w wersji oprogramowania 1.08.13. — https://cert.pl/posts/2025/12/CVE-2025-10910/ ↩ ↩² ↩³

6. Podatność może dotyczyć również innych urządzeń Govee komunikujących się z chmurą. — https://cert.pl/posts/2025/12/CVE-2025-10910/ ↩ ↩²

7. A flaw in the binding process of Govee’s cloud platform and devices allows a remote attacker to bind an existing, online Govee device to the attacker’s account. — https://nvd.nist.gov/vuln/detail/CVE-2025-10910 ↩ ↩²

8. This results in full control of the device and removal of the device from its legitimate owner’s account. — https://nvd.nist.gov/vuln/detail/CVE-2025-10910 ↩ ↩²

9. The vulnerability has been verified for the Govee H6056 - lamp device in firmware version 1.08.13, but may affect also other Govee cloud‑connected devices, and the vendor is investigating other potentially affected models. — https://nvd.nist.gov/vuln/detail/CVE-2025-10910 ↩

10. Pozostali użytkownicy urządzeń H6056 muszą ręcznie zaktualizować oprogramowanie za pomocą aplikacji Govee Home, utrzymując połączenie z internetem. — https://cert.pl/posts/2025/12/CVE-2025-10910/ ↩ ↩²

11. Użytkownicy powinni otworzyć aplikację Govee Home, dotknąć karty urządzenia H6056, aby przejść na stronę szczegółów urządzenia, dotknąć ikony ustawień w prawym górnym rogu, przejść do sekcji „Informacje o urządzeniu” (wersja oprogramowania) i dotknąć przycisku „Aktualizuj”, aby natychmiast zainstalować poprawkę zabezpieczeń. — https://cert.pl/posts/2025/12/CVE-2025-10910/ ↩ ↩²

12. Interfejs API odpowiedzialny za powiązanie urządzenia po stronie serwera akceptuje zestaw identyfikatorów: device, sku, type oraz pole value. — https://cert.pl/posts/2025/12/CVE-2025-10910/ ↩

13. The server‑side API allows device association using a set of identifiers: „device”, „sku”, „type”, and a client‑computed „value”. — https://nvd.nist.gov/vuln/detail/CVE-2025-10910 ↩

14. Pole ‘value’ jest obliczane po stronie klienta i nie jest kryptograficznie powiązane z żadnym sekretem pochodzącym bezpośrednio z urządzenia. — https://cert.pl/posts/2025/12/CVE-2025-10910/ ↩

15. These identifiers are not cryptographically bound to a secret originating from the device itself. — https://nvd.nist.gov/vuln/detail/CVE-2025-10910 ↩

16. These identifiers are not cryptographically bound to a secret originating from the device itself. — https://radar.offseq.com/threat/cve-2025-10910-cwe-639-authorization-bypass-throug-3488e573 ↩

17. A flaw in the binding process of Govee’s cloud platform and devices allows a remote attacker to bind an existing, online Govee device to the attacker’s account. — https://radar.offseq.com/threat/cve-2025-10910-cwe-639-authorization-bypass-throug-3488e573 ↩

18. This results in full control of the device and removal of the device from its legitimate owner’s account. — https://radar.offseq.com/threat/cve-2025-10910-cwe-639-authorization-bypass-throug-3488e573 ↩

19. The vulnerability has been verified for the Govee H6056 - lamp device in firmware version 1.08.13, but may affect also other Govee cloud‑connected devices, and the vendor is investigating other potentially affected models. — https://radar.offseq.com/threat/cve-2025-10910-cwe-639-authorization-bypass-throug-3488e573 ↩

20. Producent Govee weryfikuje inne potencjalnie zagrożone modele urządzeń. — https://cert.pl/posts/2025/12/CVE-2025-10910/ ↩

21. The vendor has deployed server-side security enhancements and automatic firmware updates for model H6056. — https://radar.offseq.com/threat/cve-2025-10910-cwe-639-authorization-bypass-throug-3488e573 ↩

22. Większość urządzeń H6056 została automatycznie zaktualizowana. — https://cert.pl/posts/2025/12/CVE-2025-10910/ ↩

23. Produkty Govee H6056 z wersjami urządzeń 1.00.10 lub 1.00.11 nie mogą otrzymać aktualizacji oprogramowania z powodu ograniczeń sprzętowych. — https://cert.pl/posts/2025/12/CVE-2025-10910/ ↩