CRITICAL✓ PATCH🇬🇧 English

CVE-2023-52538

Ominięcie weryfikacji nazwy pakietu w module HwIms (Huawei EMUI/HarmonyOS)

CVSS 9.1v3.1pub. 2024-04-08upd. 2025-03-25

Podatność w module HwIms systemów Huawei EMUI i HarmonyOS umożliwia obejście weryfikacji nazwy pakietu. Jej wykorzystanie może prowadzić do naruszenia integralności systemu oraz jego dostępności.

Pokaż oryginał (EN)

Vulnerability of package name verification being bypassed in the HwIms module. Impact: Successful exploitation of this vulnerability will affect availability.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej weryfikacji nazwy pakietu (CWE-347: niewłaściwa weryfikacja podpisu/tożsamości, CWE-863: nieprawidłowa autoryzacja) w module HwIms. Atakujący zdalnie, bez uwierzytelnienia i bez interakcji użytkownika, może dostarczyć spreparowane żądanie omijające mechanizm kontroli nazwy pakietu. W efekcie moduł HwIms może zostać nakłoniony do wykonania nieautoryzowanych operacji.

Skutki

Skuteczne wykorzystanie podatności pozwala atakującemu na naruszenie integralności danych oraz zakłócenie dostępności systemu lub usług powiązanych z modułem HwIms.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — biuletyn bezpieczeństwa Huawei z marca 2024 dostępny pod adresem https://consumer.huawei.com/en/support/bulletin/2024/3/

Kogo dotyczy

Urządzenia Huawei z systemem EMUI oraz HarmonyOS — dokładne wersje wskazane w referencjach producenta (biuletyn bezpieczeństwa Huawei z marca 2024).

Uwagi

Podatność opublikowana w biuletynie bezpieczeństwa Huawei z marca 2024. Wektor ataku sieciowy bez wymaganych uprawnień i interakcji użytkownika (AV:N/AC:L/PR:N/UI:N) podnosi ryzyko praktycznego wykorzystania.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H
  • Huawei Emui

    OS
    Huawei
    12.0.013.0.0
  • Huawei Harmonyos

    OS
    Huawei
    2.0.02.1.03.0.03.1.04.0.0
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2026-34865CRITICAL10.0PL ✓ten sam produkt

HarmonyOS: przepełnienie bufora sterty (heap buffer overflow) w module WEB

CVE-2026-28536CRITICAL9.6PL ✓ten sam produkt

Pominięcie uwierzytelnienia w module autoryzacji urządzeń Huawei HarmonyOS

CVE-2025-64314CRITICAL9.3PL ✓ten sam produkt

Błąd kontroli uprawnień w module zarządzania pamięcią Huawei HarmonyOS

CVE-2024-42037CRITICAL9.3PL ✓ten sam produkt

Nieobsłużony wyjątek w module Graphics systemów Huawei EMUI/HarmonyOS

CVE-2024-39671CRITICAL9.3PL ✓ten sam produkt

Podatność kontroli dostępu w module weryfikacji bezpieczeństwa Huawei