CVE-2025-32880

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2025-32880
An issue was discovered on COROS PACE 3 devices through 3.0808.0. It implements a function to connect the watch to a WLAN. With WLAN access, the COROS Pace 3 downloads firmware files via HTTP. However, the communication is not encrypted and allows sniffing and machine-in-the-middle attacks.

9.8 /10

CVSS v3 : CRITICAL

V3 Legend

Vector :

Exploitability : 3.9 / Impact : 5.9

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact HIGH

Scope UNCHANGED

References
Link Resource
https://support.coros.com/hc/en-us/articles/20087694119828-COROS-PACE-3-Release-Notes
https://syss.de
https://www.syss.de/fileadmin/dokumente/Publikationen/Advisories/SYSS-2025-029.txt
https://www.syss.de/fileadmin/dokumente/Publikationen/Advisories/SYSS-2025-029.txt
Configurations

No configuration.

History

24 Jun 2025, 16:15

Type Values Removed Values Added
Summary
  • (es) Se detectó un problema en los dispositivos COROS PACE 3 a través de la versión 3.0808.0. Este problema implementa una función para conectar el reloj a una red WLAN. Con acceso a la red WLAN, el COROS Pace 3 descarga archivos de firmware mediante HTTP. Sin embargo, la comunicación no está cifrada y permite el rastreo de dispositivos y ataques de intermediario.
References () https://www.syss.de/fileadmin/dokumente/Publikationen/Advisories/SYSS-2025-029.txt - () https://www.syss.de/fileadmin/dokumente/Publikationen/Advisories/SYSS-2025-029.txt -
CVSS v2 : unknown
v3 : unknown 		v2 : unknown
v3 : 9.8
CWE CWE-319

23 Jun 2025, 20:16

Type Values Removed Values Added
Summary
  • (es) Se detectó un problema en los dispositivos COROS PACE 3 a través de la versión 3.0808.0. Este problema implementa una función para conectar el reloj a una red WLAN. Con acceso a la red WLAN, el COROS Pace 3 descarga archivos de firmware mediante HTTP. Sin embargo, la comunicación no está cifrada y permite el rastreo de dispositivos y ataques de intermediario.

20 Jun 2025, 14:15

Type Values Removed Values Added
Summary
  • (es) Se detectó un problema en los dispositivos COROS PACE 3 a través de la versión 3.0808.0. Este problema implementa una función para conectar el reloj a una red WLAN. Con acceso a la red WLAN, el COROS Pace 3 descarga archivos de firmware mediante HTTP. Sin embargo, la comunicación no está cifrada y permite el rastreo de dispositivos y ataques de intermediario.
New CVE
Information

Published : 2025-06-20 14:15

Updated : 2025-06-24 16:15

NVD link : CVE-2025-32880

Mitre link : CVE-2025-32880

CVE.ORG link : CVE-2025-32880

JSON object : View

Products Affected

No product.

CWE
CWE-319

Cleartext Transmission of Sensitive Information