CVE-2026-9219
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 10 — wyżej niż 10% wszystkich znanych CVE
Streszczenie
Aplikacja Setracker2 Android Companion App (com.tgelec.setracker) w wersjach 3.1.5 i starszych generuje przewidywalny identyfikator rejestracji na podstawie numeru IMEI. System rejestracji nie wymaga dodatkowego uwierzytelnienia przed przypisaniem identyfikatora, co umożliwia atakującemu, po uzyskaniu tego identyfikatora, dowolne przypisywanie zegarków należących do innych użytkowników.
Ocena ryzyka
Ryzyko polega na możliwości przejęcia kontroli nad urządzeniami (zegarkami) innych użytkowników, co może prowadzić do naruszenia prywatności, śledzenia lokalizacji lub podszywania się pod ofiarę.
Rekomendacja
Należy natychmiast zaktualizować aplikację Setracker2 do najnowszej dostępnej wersji, która usuwa tę podatność. Jeśli aktualizacja nie jest dostępna, rozważ tymczasowe zaprzestanie korzystania z aplikacji do czasu wydania łatki.
Oryginalny opis (angielski, źródło NVD)
Setracker2 Android Companion App com.tgelec.setracker versions 3.1.5 and prior have a predictable registration ID derived from IMEI. The enrollment system lacks additional authentication before assignment. If an attacker is able to obtain the registration ID, they would be able to arbitrarily enroll watches belonging to other users.

