Исследователь Bobdahacker обнаружила уязвимости в админ-панели китайской Pudu Robotics — крупнейшего производителя сервисных роботов. Ошибка позволяла злоумышленникам получать контроль над устройствами, перенаправлять их и отдавать любые команды.
Pudu выпускает свыше 100 тыс. роботов, включая BellaBot для ресторанов и FlashBot с механическими руками. Уязвимость была связана с отсутствием ограничений при авторизации: получив токен через XSS или тестовый аккаунт, можно было управлять роботами без дополнительных проверок. Это открывало путь к саботажу заказов, массовой остановке сетей или вмешательству в офисные системы.
Первоначальные обращения исследовательницы в поддержку Pudu остались без ответа. Реакция последовала лишь после того, как она связалась с клиентами компании, включая японские сети Skylark Holdings и Zensho. После этого Pudu закрыла дыру и усилила защиту, однако публичных комментариев не дала.
Pudu выпускает свыше 100 тыс. роботов, включая BellaBot для ресторанов и FlashBot с механическими руками. Уязвимость была связана с отсутствием ограничений при авторизации: получив токен через XSS или тестовый аккаунт, можно было управлять роботами без дополнительных проверок. Это открывало путь к саботажу заказов, массовой остановке сетей или вмешательству в офисные системы.
Первоначальные обращения исследовательницы в поддержку Pudu остались без ответа. Реакция последовала лишь после того, как она связалась с клиентами компании, включая японские сети Skylark Holdings и Zensho. После этого Pudu закрыла дыру и усилила защиту, однако публичных комментариев не дала.