Katalog CVE

CVE-2026-50086

KrytyczneCVSS 10.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Brama Aqara IAM/SSO (gw-builder.aqara.com) ujawnia dwukierunkowe operacje AES na kluczu podpisującym platformy bez wymogu uwierzytelnienia. To przypadek braku uwierzytelnienia dla krytycznej funkcji oraz użycia ryzykownego algorytmu kryptograficznego.

Ocena ryzyka

Brak uwierzytelnienia może prowadzić do nieautoryzowanego dostępu do klucza podpisującego, co stwarza poważne zagrożenie dla integralności danych i bezpieczeństwa systemu.

Rekomendacja

Zaleca się wprowadzenie mechanizmów uwierzytelniania dla krytycznych funkcji oraz zastąpienie używanego algorytmu AES bardziej bezpiecznym rozwiązaniem.

Oryginalny opis (angielski, źródło NVD)

The Aqara IAM/SSO gateway (gw-builder.aqara.com) exposes bidirectional AES round-trups against the platform's signing key without authentication. This is an instance of "CWE-306: Missing Authentication for Critical Function" and "CWE-327: Use of a Broken or Risky Cryptographic Algorithm," and has an estimated CVSS of CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N (7.5 High).

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS