Von den vier von CISA gemeldeten Schwachstellen sind zwei als kritisch eingestuft. Die erste, geführt als CVE-2025-29631, ist eine Command-Injection-Lücke, über die sich beliebige Betriebssystembefehle auf dem betroffenen Gerät ausführen lassen. Die zweite kritische Schwachstelle, CVE-2025-1242, betrifft fest einprogrammierte Administrator-Zugangsdaten, mit denen sich die volle Kontrolle über den Gardyn IoT Hub erlangen lässt.

Die beiden als hoch eingestuften Lücken, CVE-2025-29628 und CVE-2025-29629, betreffen die Übertragung sensibler Informationen im Klartext durch den Azure IoT Hub – mit Anfälligkeit für Man-in-the-Middle-Angriffe – sowie die Verwendung von Standard-Zugangsdaten, die SSH-Zugriff ermöglichen.

Groberman erklärte, dass die cloudseitigen Schwachstellen auf die Gardyn-API und die Infrastruktur des Azure IoT Hub abzielen, die beide aus dem Internet erreichbar sind. In einem von ihm beschriebenen theoretischen Angriffsszenario könnte ein Angreifer die fest hinterlegten Administrator-Zugangsdaten aus der mobilen App oder der Firmware auslesen und sich so vollen administrativen Zugriff auf den IoT Hub verschaffen. Von dort aus ließe sich mit verbundenen Geräten über den gesamten Kundenbestand hinweg interagieren und über die Command-Injection-Lücke beliebige Betriebssystembefehle auf den Heimgeräten ausführen.

In seiner Mitteilung bestätigte Gardyn, dass ein Angreifer die Schwachstellen hätte ausnutzen können, um die Fernsteuerung über ein Gerät zu übernehmen – einschließlich der Möglichkeit, Beleuchtung oder Bewässerung der Pflanzen zu verändern. Angreifer hätten zudem auf Pflanzenfotos sowie auf begrenzte persönliche Daten wie Name, Adresse, E-Mail-Adresse und Telefonnummer zugreifen können.

Nach Angaben des Herstellers gibt es keine Hinweise auf eine Ausnutzung in freier Wildbahn. Sensible Daten wie Anmeldedaten und Kreditkarteninformationen seien nicht offengelegt worden.

Groberman zufolge baut seine Untersuchung auf den Erkenntnissen eines weiteren Forschers, Kristof Mattei, auf, der seine Befunde im Sommer 2025 veröffentlicht hatte. Zu diesem Zeitpunkt habe der Hersteller laut Mattei zwar einige Maßnahmen ergriffen, kritische Probleme seien jedoch ungepatcht geblieben. Seine erweiterten Erkenntnisse meldete Groberman nach eigenen Angaben im Oktober 2025 an den Hersteller.