CVE-2026-49322
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 1 - wyżej niż 1% wszystkich znanych CVE
Streszczenie
Podatność w module bezprzewodowej kontroli (WCM) motocykla Indian Motorcycle Scout Bobber + Tech z 2025 roku umożliwia atakującemu z sąsiedniej sieci, posiadającemu dostęp do odczytu sieci wewnątrz pojazdu, odzyskanie kodu PIN ustawionego przez użytkownika poprzez bierne obserwowanie pojedynczej wymiany uwierzytelniania PIN. Wyświetlacz Infotainment Digital Round oblicza swoją odpowiedź przy użyciu niekryptograficznej operacji zamiast kryptograficznego wyzwania-odpowiedzi, przez co PIN jest matematycznie wyprowadzalny z jednej przechwyconej wymiany, co omija główną kontrolę uwierzytelniania użytkownika motocykla.
Ocena ryzyka
Ryzyko polega na tym, że atakujący może uzyskać nieautoryzowany dostęp do motocykla, odblokowując go bez znajomości PIN-u, co może prowadzić do kradzieży pojazdu lub manipulacji jego systemami.
Rekomendacja
Zaleca się natychmiastowe zastosowanie poprawek dostarczonych przez producenta po ich udostępnieniu oraz wdrożenie silniejszego mechanizmu uwierzytelniania opartego na kryptograficznym wyzwaniu-odpowiedzi.
Oryginalny opis (angielski, źródło NVD)
Weak authentication in the Wireless Control Module (WCM) of the Indian Motorcycle Scout Bobber + Tech 2025 model year allows an adjacent-network attacker with read access to the in-vehicle network to recover the user-set unlock PIN by passively observing a single PIN authentication exchange. The Infotainment Digital Round display computes its response using a non-cryptographic operation rather than a cryptographic challenge-response, so the PIN is mathematically derivable from one captured exchange, defeating the motorcycle's primary user-authentication control. Specific protocol details have been withheld pending vendor remediation.

