关键漏洞信息 漏洞类型: 不正确的证书验证 (CVE-2025-32878) 受影响产品: COROS PACE 3 制造商: COROS Wearables, Inc. 受影响版本: <= V 3.6888.0 漏洞描述: 由于X.509证书验证不当,COROS PACE 3和后端API之间的HTTPS通信可以被中间人攻击截获和操纵。 解决方案状态: 尚未修复 披露时间线: - 2025-03-10: 漏洞发现 - 2025-03-14: 向制造商报告漏洞 - 2025-05-17: 请求制造商更新 - 2025-05-31: 提供更多详细信息给制造商 - 2025-06-14: 告知制造商分配的CVE-ID和CVSS评分 - 2025-06-15: 收到制造商回复,计划在2025年第三季度修复 - 2025-06-17: 公开披露 参考文献: - COROS PACE 3产品网站 - SySS安全公告SYSS-2025-E38 - SySS负责任披露政策 - stunnel网站 - certimtm GitHub仓库 - CVE-2025-32878 - 蓝牙分析COROS PACE 3