CVE-2026-49318
NiskieCVSS 2.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 4 — wyżej niż 4% wszystkich znanych CVE
Streszczenie
Podatność w systemie Infotainment / Digital Round motocykla Indian Motorcycle Scout Bobber + Tech (rocznik 2025) umożliwia atakującemu z sąsiedniej sieci ominięcie ekranu wprowadzania kodu PIN. System błędnie zakłada, że brak ruchu z modułu WCM podczas uruchamiania oznacza brak immobilizera, co pozwala na wyświetlenie normalnego interfejsu użytkownika bez autoryzacji.
Ocena ryzyka
Atakujący może uzyskać pełny dostęp do systemu Infotainment, w tym do funkcji nawigacji, multimediów i ustawień pojazdu, bez znajomości kodu PIN, co zwiększa ryzyko kradzieży lub nieautoryzowanego użycia motocykla.
Rekomendacja
Zaleca się natychmiastowe zastosowanie aktualizacji oprogramowania od producenta po jej udostępnieniu oraz wdrożenie mechanizmów wykrywania i blokowania ataków typu CAN bus-off w sieci pojazdu.
Oryginalny opis (angielski, źródło NVD)
Incorrect behavior order in the Infotainment / Digital Round display of the Indian Motorcycle Scout Bobber + Tech 2025 model year allows an adjacent-network attacker to bypass the PIN entry screen. The Infotainment uses presence of Wireless Control Module (WCM) traffic during its boot window as a proxy for whether an immobilizer is fitted; if no WCM messages are observed, it skips the PIN entry screen and shows the normal user interface. An attacker who silences the WCM during the boot window — for example via a separately tracked CAN bus-off technique — can present a fully unlocked Infotainment despite the PIN never being entered. Specific timing and protocol details have been withheld pending vendor remediation.

