CVE-2026-50084
KrytyczneCVSS 9.6Streszczenie
API produkcji chmury Aqara pozwala na autoryzację każdego ważnego tokena dewelopera do dostępu do dowolnego konta, co stanowi przykład braku autoryzacji. W połączeniu z innymi podatnościami może prowadzić do zdalnego przejęcia urządzeń bez uwierzytelnienia.
Ocena ryzyka
Organizacja narażona jest na ryzyko całkowitego przejęcia kontroli nad urządzeniami, co może prowadzić do utraty danych oraz naruszenia prywatności użytkowników.
Rekomendacja
Zaleca się natychmiastowe zaktualizowanie systemu oraz wdrożenie dodatkowych mechanizmów autoryzacji dla API, aby zabezpieczyć dostęp do kont użytkowników.
Oryginalny opis (angielski, źródło NVD)
The Aqara Cloud Production API (open-cn.aqara.com/v3.0/open/api) would authorize any valid developer token for access to any account. This is an instance of "CWE-862: Missing Authorization" with an estimated CVSS of CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N (9.6 Critical). When combined with CVE-2026-50082, CVE-50083, and CVE-50085, this can lead to a fully unauthenticated, remote takeover of affected devices.

