Katalog CVE

CVE-2026-50084

KrytyczneCVSS 9.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

API produkcji chmury Aqara pozwala na autoryzację każdego ważnego tokena dewelopera do dostępu do dowolnego konta, co stanowi przykład braku autoryzacji. W połączeniu z innymi podatnościami może prowadzić do zdalnego przejęcia urządzeń bez uwierzytelnienia.

Ocena ryzyka

Organizacja narażona jest na ryzyko całkowitego przejęcia kontroli nad urządzeniami, co może prowadzić do utraty danych oraz naruszenia prywatności użytkowników.

Rekomendacja

Zaleca się natychmiastowe zaktualizowanie systemu oraz wdrożenie dodatkowych mechanizmów autoryzacji dla API, aby zabezpieczyć dostęp do kont użytkowników.

Oryginalny opis (angielski, źródło NVD)

The Aqara Cloud Production API (open-cn.aqara.com/v3.0/open/api) would authorize any valid developer token for access to any account. This is an instance of "CWE-862: Missing Authorization" with an estimated CVSS of CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N (9.6 Critical). When combined with CVE-2026-50082, CVE-50083, and CVE-50085, this can lead to a fully unauthenticated, remote takeover of affected devices.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS