Katalog CVE

CVE-2026-49323

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.11%

Percentyl 1 - wyżej niż 1% wszystkich znanych CVE

Streszczenie

Słabe uwierzytelnianie między modułem sterowania bezprzewodowego (WCM) a modułem sterowania silnikiem (ECM) w motocyklu Indian Motorcycle Scout Bobber + Tech z 2025 roku pozwala atakującemu w sąsiedniej sieci, mającemu dostęp do odczytu sieci pojazdu, na odzyskanie tajnego klucza immobilizera ECM poprzez bierne obserwowanie pojedynczej wymiany seed/key. WCM używa odwracalnej, niekryptograficznej operacji zamiast kryptograficznego wyzwania-odpowiedzi, co umożliwia odtworzenie trwałego sekretu immobilizera z jednej przechwyconej wymiany.

Ocena ryzyka

Atakujący może uwierzytelnić się w ECM niezależnie od WCM i uruchomić silnik, omijając immobilizer, co stwarza ryzyko kradzieży pojazdu.

Rekomendacja

Należy wdrożyć kryptograficzne uwierzytelnianie typu challenge-response między WCM a ECM oraz wymusić aktualizację oprogramowania przez producenta.

Oryginalny opis (angielski, źródło NVD)

Weak authentication between the Wireless Control Module (WCM) and the Engine Control Module (ECM) of the Indian Motorcycle Scout Bobber + Tech 2025 model year allows an adjacent-network attacker with read access to the in-vehicle network to recover the per-vehicle ECM immobilizer secret by passively observing a single seed/key exchange. The WCM derives its response using a reversible, non-cryptographic operation rather than a cryptographic challenge-response, so the persistent immobilizer secret can be reconstructed from one captured exchange. With this secret the attacker can authenticate to the ECM independently of the WCM and start the engine, defeating the immobilizer. Specific protocol details have been withheld pending vendor remediation.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS