Vulnerabilidades Reportadas.

Histórico de vulnerabilidades detectadas em produtos Velds e respectivas correções.

Esta página reúne os comunicados públicos de segurança (advisories) referentes a vulnerabilidades identificadas em produtos Velds e já tratadas, conforme a Política de Segurança Cibernética e o fluxo do CSIRT Velds. Cada comunicado recebe um identificador próprio no formato VELDS-SA-AAAA-NNN e, quando aplicável, referência a um CVE correlato. Os comunicados são listados do mais recente para o mais antigo. Toque em cada item para expandir os detalhes.

VELDS-SA-2026-001 Controle não autenticado do relé via rede local — VDS AT16ABW Alta · Resolvido · 16/07/2026
Identificador
VELDS-SA-2026-001
Produto afetado
VDS AT16ABW
Versões afetadas
Firmware v1.3.5 e anteriores
Versão corrigida
Firmware v1.4.0
Severidade
Alta — CVSS 3.1 base 8.3
Classificação
CWE-306, CWE-494, CWE-319
Referência CVE
Não atribuídoO identificador público deste caso é o advisory VELDS-SA-2026-001. Um CVE é emitido apenas por uma CVE Numbering Authority (CNA) e não foi solicitado para este caso.
Reportado em
16/07/2026
Corrigido em
16/07/2026
Publicado em
16/07/2026
Status
Resolvido

Resumo

A tomada smart VDS AT16ABW expunha, na rede local (LAN), uma interface de controle TCP sem qualquer autenticação. Um dispositivo conectado à mesma rede Wi-Fi conseguia ler informações do produto (identificador, SSID e telemetria) e comandar o relé de 16 A — ligar, desligar e ciclar — sem credencial, token ou pareamento prévio. A falha era agravada por um mecanismo de atualização de firmware transmitido sem criptografia e aplicado sem verificação de assinatura digital.

Impacto

Por se tratar de uma tomada de 16 A, comumente utilizada com cargas de alta corrente (ar-condicionado, aquecedores e eletrodomésticos), o acionamento não autorizado do relé representava risco relevante, incluindo o desligamento indevido de equipamentos e o estresse por ciclagem repetida. A ausência de verificação de assinatura na atualização permitiria, a um atacante em posição de rede, a substituição do firmware do dispositivo.

Correção

  • Autenticação local: a interface de controle passou a exigir chave pareada, derivada durante o provisionamento; comandos de escrita são rejeitados sem sessão autenticada válida.
  • Atualização segura: as imagens de firmware passaram a ser assinadas digitalmente e validadas pelo dispositivo, transmitidas por canal criptografado, com bloqueio de downgrade para versões anteriores.
  • Distribuição: a correção foi disponibilizada na versão de firmware v1.4.0 e aplicada automaticamente aos dispositivos conectados.

Recomendação ao usuário

Abra o app Velds com a tomada conectada à internet e aceite o aviso (popup) de atualização de firmware que deverá aparecer, atualizando o dispositivo para a versão v1.4.0. Caso o aviso não apareça de imediato, a versão instalada pode ser conferida na tela de detalhes do dispositivo no app.

Créditos: vulnerabilidade reportada por Pedro Alexandre Barradas da Côrte, por meio do canal CSIRT, e tratada conforme o processo de Divulgação Coordenada de Vulnerabilidades (CVD) da Velds.