Katalog CVE

CVE-2026-50226

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

W aplikacji AcerConnect OTA naprawiono klucze AES-128-CBC, co pozwala atakującym na fałszowanie poświadczeń autoryzacyjnych dla dowolnych numerów IMEI. Umożliwia to nieautoryzowanym osobom przeglądanie elementów katalogu oraz wyciąganie chronionych binarnych plików z wstępnie podpisanych linków w chmurze.

Ocena ryzyka

Organizacja narażona jest na ryzyko nieautoryzowanego dostępu do danych oraz możliwości wycieku wrażliwych informacji. Atakujący mogą wykorzystać tę podatność do manipulacji danymi i uzyskania dostępu do chronionych zasobów.

Rekomendacja

Zaleca się aktualizację aplikacji AcerConnect OTA do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa, aby zidentyfikować i zabezpieczyć inne potencjalne luki.

Oryginalny opis (angielski, źródło NVD)

Fixed AES-128-CBC keys inside the AcerConnect OTA application let attackers forge authorization credentials for arbitrary IMEI numbers. This allows unauthorized actors to list catalog items and extract protected binaries from pre-signed cloud links.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS