CVE-2024-52329

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2024-52329
ECOVACS HOME mobile app plugins for specific robots do not properly validate TLS certificates. An unauthenticated attacker can read or modify TLS traffic and obtain authentication tokens.

7.4 /10

CVSS v3 : HIGH

V3 Legend

Vector :

Exploitability : 2.2 / Impact : 5.2

Attack Vector NETWORK

Attack Complexity HIGH

Privileges Required NONE

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact NONE

Scope UNCHANGED

References
Link Resource
https://dontvacuum.me/talks/37c3-2023/37c3-vacuuming-and-mowing.pdf Exploit Third Party Advisory
https://dontvacuum.me/talks/HITCON2024/HITCON-CMT-2024_Ecovacs.pdf Exploit Third Party Advisory
https://www.ecovacs.com/global/userhelp/dsa20241217001 Vendor Advisory
Configurations

Configuration 1 (hide)

OR cpe:2.3:a:ecovacs:home:*:*:*:*:*:android:*:*
cpe:2.3:a:ecovacs:home:*:*:*:*:*:iphone_os:*:*
History

23 Sep 2025, 17:33

Type Values Removed Values Added
CPE cpe:2.3:h:ecovacs:x5_pro_ultra:-:*:*:*:*:*:*:*
cpe:2.3:o:ecovacs:mate_x_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:ecovacs:x1_plus:-:*:*:*:*:*:*:*
cpe:2.3:o:ecovacs:t10_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:ecovacs:x1_pro_omni:-:*:*:*:*:*:*:*
cpe:2.3:h:ecovacs:x1s_pro_plus:-:*:*:*:*:*:*:*
cpe:2.3:o:ecovacs:x2_omni_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:ecovacs:mate_x:-:*:*:*:*:*:*:*
cpe:2.3:h:ecovacs:x5_pro:-:*:*:*:*:*:*:*
cpe:2.3:h:ecovacs:x2_pro:-:*:*:*:*:*:*:*
cpe:2.3:h:ecovacs:x5_pro_plus:-:*:*:*:*:*:*:*
cpe:2.3:h:ecovacs:x2_combo:-:*:*:*:*:*:*:*
cpe:2.3:o:ecovacs:x1s_pro_plus_firmware:*:*:*:*:*:*:*:*
cpe:2.3:o:ecovacs:x1_omni_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:ecovacs:x1s_pro:-:*:*:*:*:*:*:*
cpe:2.3:o:ecovacs:t10_turbo_firmware:*:*:*:*:*:*:*:*
cpe:2.3:o:ecovacs:x1e_omni_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:ecovacs:x2_omni:-:*:*:*:*:*:*:*
cpe:2.3:o:ecovacs:x1_turbo_firmware:*:*:*:*:*:*:*:*
cpe:2.3:o:ecovacs:x5_pro_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:ecovacs:x1e_omni:-:*:*:*:*:*:*:*
cpe:2.3:o:ecovacs:x2s_firmware:*:*:*:*:*:*:*:*
cpe:2.3:o:ecovacs:t10_omni_firmware:*:*:*:*:*:*:*:*
cpe:2.3:o:ecovacs:x2_combo_firmware:*:*:*:*:*:*:*:*
cpe:2.3:o:ecovacs:x1_plus_firmware:*:*:*:*:*:*:*:*
cpe:2.3:o:ecovacs:x5_pro_plus_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:ecovacs:t10:-:*:*:*:*:*:*:*
cpe:2.3:h:ecovacs:x1_omni:-:*:*:*:*:*:*:*
cpe:2.3:h:ecovacs:t10_omni:-:*:*:*:*:*:*:*
cpe:2.3:h:ecovacs:x2s:-:*:*:*:*:*:*:*
cpe:2.3:o:ecovacs:x5_pro_ultra_firmware:*:*:*:*:*:*:*:*
cpe:2.3:o:ecovacs:x1_pro_omni_firmware:*:*:*:*:*:*:*:*
cpe:2.3:o:ecovacs:x1_firmware:*:*:*:*:*:*:*:*
cpe:2.3:o:ecovacs:x1s_pro_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:ecovacs:t10_turbo:-:*:*:*:*:*:*:*
cpe:2.3:o:ecovacs:t10_plus_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:ecovacs:t10_plus:-:*:*:*:*:*:*:*
cpe:2.3:o:ecovacs:x2_pro_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:ecovacs:x1:-:*:*:*:*:*:*:*
cpe:2.3:h:ecovacs:x1_turbo:-:*:*:*:*:*:*:*

23 Sep 2025, 17:22

Type Values Removed Values Added
First Time Ecovacs x1 Plus Firmware
Ecovacs x2 Combo
Ecovacs x2s Firmware
Ecovacs x1s Pro
Ecovacs x1
Ecovacs home
Ecovacs t10 Omni
Ecovacs x2 Pro
Ecovacs t10 Firmware
Ecovacs x2 Combo Firmware
Ecovacs x1s Pro Plus Firmware
Ecovacs x1s Pro Firmware
Ecovacs x1e Omni
Ecovacs x5 Pro
Ecovacs x2 Pro Firmware
Ecovacs x5 Pro Firmware
Ecovacs x2 Omni Firmware
Ecovacs x1 Turbo Firmware
Ecovacs x5 Pro Ultra
Ecovacs t10
Ecovacs x2 Omni
Ecovacs x5 Pro Plus Firmware
Ecovacs x1 Plus
Ecovacs x5 Pro Plus
Ecovacs x2s
Ecovacs x1 Turbo
Ecovacs mate X Firmware
Ecovacs t10 Turbo Firmware
Ecovacs x5 Pro Ultra Firmware
Ecovacs t10 Plus
Ecovacs mate X
Ecovacs t10 Plus Firmware
Ecovacs x1 Firmware
Ecovacs
Ecovacs x1 Omni Firmware
Ecovacs x1e Omni Firmware
Ecovacs t10 Turbo
Ecovacs x1 Pro Omni
Ecovacs t10 Omni Firmware
Ecovacs x1s Pro Plus
Ecovacs x1 Pro Omni Firmware
Ecovacs x1 Omni
CPE cpe:2.3:h:ecovacs:x5_pro_ultra:-:*:*:*:*:*:*:*
cpe:2.3:o:ecovacs:mate_x_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:ecovacs:x1_plus:-:*:*:*:*:*:*:*
cpe:2.3:o:ecovacs:t10_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:ecovacs:x1_pro_omni:-:*:*:*:*:*:*:*
cpe:2.3:h:ecovacs:x1s_pro_plus:-:*:*:*:*:*:*:*
cpe:2.3:o:ecovacs:x2_omni_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:ecovacs:mate_x:-:*:*:*:*:*:*:*
cpe:2.3:h:ecovacs:x5_pro:-:*:*:*:*:*:*:*
cpe:2.3:h:ecovacs:x2_pro:-:*:*:*:*:*:*:*
cpe:2.3:h:ecovacs:x5_pro_plus:-:*:*:*:*:*:*:*
cpe:2.3:h:ecovacs:x2_combo:-:*:*:*:*:*:*:*
cpe:2.3:o:ecovacs:x1s_pro_plus_firmware:*:*:*:*:*:*:*:*
cpe:2.3:o:ecovacs:x1_omni_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:ecovacs:x1s_pro:-:*:*:*:*:*:*:*
cpe:2.3:o:ecovacs:t10_turbo_firmware:*:*:*:*:*:*:*:*
cpe:2.3:o:ecovacs:x1e_omni_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:ecovacs:x2_omni:-:*:*:*:*:*:*:*
cpe:2.3:a:ecovacs:home:*:*:*:*:*:iphone_os:*:*
cpe:2.3:o:ecovacs:x1_turbo_firmware:*:*:*:*:*:*:*:*
cpe:2.3:o:ecovacs:x5_pro_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:ecovacs:x1e_omni:-:*:*:*:*:*:*:*
cpe:2.3:o:ecovacs:x2s_firmware:*:*:*:*:*:*:*:*
cpe:2.3:o:ecovacs:t10_omni_firmware:*:*:*:*:*:*:*:*
cpe:2.3:o:ecovacs:x2_combo_firmware:*:*:*:*:*:*:*:*
cpe:2.3:o:ecovacs:x1_plus_firmware:*:*:*:*:*:*:*:*
cpe:2.3:o:ecovacs:x5_pro_plus_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:ecovacs:t10:-:*:*:*:*:*:*:*
cpe:2.3:h:ecovacs:x1_omni:-:*:*:*:*:*:*:*
cpe:2.3:h:ecovacs:t10_omni:-:*:*:*:*:*:*:*
cpe:2.3:h:ecovacs:x2s:-:*:*:*:*:*:*:*
cpe:2.3:a:ecovacs:home:*:*:*:*:*:android:*:*
cpe:2.3:o:ecovacs:x5_pro_ultra_firmware:*:*:*:*:*:*:*:*
cpe:2.3:o:ecovacs:x1_pro_omni_firmware:*:*:*:*:*:*:*:*
cpe:2.3:o:ecovacs:x1_firmware:*:*:*:*:*:*:*:*
cpe:2.3:o:ecovacs:x1s_pro_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:ecovacs:t10_turbo:-:*:*:*:*:*:*:*
cpe:2.3:o:ecovacs:t10_plus_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:ecovacs:t10_plus:-:*:*:*:*:*:*:*
cpe:2.3:o:ecovacs:x2_pro_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:ecovacs:x1:-:*:*:*:*:*:*:*
cpe:2.3:h:ecovacs:x1_turbo:-:*:*:*:*:*:*:*
Summary
  • (es) Los complementos de la aplicación móvil ECOVACS HOME para robots específicos no validan correctamente los certificados TLS. Un atacante no autenticado puede leer o modificar el tráfico TLS y obtener tokens de autenticación.
References () https://dontvacuum.me/talks/37c3-2023/37c3-vacuuming-and-mowing.pdf - () https://dontvacuum.me/talks/37c3-2023/37c3-vacuuming-and-mowing.pdf - Exploit, Third Party Advisory
References () https://dontvacuum.me/talks/HITCON2024/HITCON-CMT-2024_Ecovacs.pdf - () https://dontvacuum.me/talks/HITCON2024/HITCON-CMT-2024_Ecovacs.pdf - Exploit, Third Party Advisory
References () https://www.ecovacs.com/global/userhelp/dsa20241217001 - () https://www.ecovacs.com/global/userhelp/dsa20241217001 - Vendor Advisory

23 Jan 2025, 17:15

Type Values Removed Values Added
New CVE
Information

Published : 2025-01-23 17:15

Updated : 2025-09-23 17:33

NVD link : CVE-2024-52329

Mitre link : CVE-2024-52329

CVE.ORG link : CVE-2024-52329

JSON object : View

Products Affected

ecovacs

  • home
CWE
CWE-295

Improper Certificate Validation