Vulnerabilidades Reportadas.
Histórico de vulnerabilidades detectadas em produtos Velds e respectivas correções.
Esta página reúne os comunicados públicos de segurança (advisories) referentes a vulnerabilidades identificadas em produtos Velds e já tratadas, conforme a Política de Segurança Cibernética e o fluxo do CSIRT Velds. Cada comunicado recebe um identificador próprio no formato VELDS-SA-AAAA-NNN e, quando aplicável, referência a um CVE correlato. Os comunicados são listados do mais recente para o mais antigo. Toque em cada item para expandir os detalhes.
VELDS-SA-2026-001 Controle não autenticado do relé via rede local — VDS AT16ABW
Resumo
A tomada smart VDS AT16ABW expunha, na rede local (LAN), uma interface de controle TCP sem qualquer autenticação. Um dispositivo conectado à mesma rede Wi-Fi conseguia ler informações do produto (identificador, SSID e telemetria) e comandar o relé de 16 A — ligar, desligar e ciclar — sem credencial, token ou pareamento prévio. A falha era agravada por um mecanismo de atualização de firmware transmitido sem criptografia e aplicado sem verificação de assinatura digital.
Impacto
Por se tratar de uma tomada de 16 A, comumente utilizada com cargas de alta corrente (ar-condicionado, aquecedores e eletrodomésticos), o acionamento não autorizado do relé representava risco relevante, incluindo o desligamento indevido de equipamentos e o estresse por ciclagem repetida. A ausência de verificação de assinatura na atualização permitiria, a um atacante em posição de rede, a substituição do firmware do dispositivo.
Correção
- Autenticação local: a interface de controle passou a exigir chave pareada, derivada durante o provisionamento; comandos de escrita são rejeitados sem sessão autenticada válida.
- Atualização segura: as imagens de firmware passaram a ser assinadas digitalmente e validadas pelo dispositivo, transmitidas por canal criptografado, com bloqueio de downgrade para versões anteriores.
- Distribuição: a correção foi disponibilizada na versão de firmware v1.4.0 e aplicada automaticamente aos dispositivos conectados.
Recomendação ao usuário
Abra o app Velds com a tomada conectada à internet e aceite o aviso (popup) de atualização de firmware que deverá aparecer, atualizando o dispositivo para a versão v1.4.0. Caso o aviso não apareça de imediato, a versão instalada pode ser conferida na tela de detalhes do dispositivo no app.
Créditos: vulnerabilidade reportada por Pedro Alexandre Barradas da Côrte, por meio do canal CSIRT, e tratada conforme o processo de Divulgação Coordenada de Vulnerabilidades (CVD) da Velds.