Katalog CVE

CVE-2026-50082

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Portal dewelopera Aqara (developer.aqara.com) wydaje token dewelopera dla dowolnego adresu e-mail podanego przez atakującego. Jest to przykład 'CWE-306: Brak uwierzytelnienia dla krytycznej funkcji', co stwarza ryzyko przejęcia urządzeń przez nieautoryzowanych użytkowników.

Ocena ryzyka

Organizacja narażona jest na pełne przejęcie urządzeń przez atakujących, którzy mogą wykorzystać brak uwierzytelnienia do uzyskania dostępu do krytycznych funkcji.

Rekomendacja

Zaleca się wdrożenie mechanizmów uwierzytelniania dla wszystkich krytycznych funkcji oraz monitorowanie dostępu do portalu dewelopera.

Oryginalny opis (angielski, źródło NVD)

The Aqara Cloud Developer Portal (developer.aqara.com) issued a developer token to any email address supplied by the attacker. This is an instance of "CWE-306: Missing Authentication for Critical Function" with an estimated CVSS of CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N (6.5 Medium). When combined with CVE-2026-50083, CVE-2026-50084, and CVE-2026-50085, any otherwise-unauthenticated attacker could execute a full takeover of affected devices.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS