Podatność w module HwIms systemów Huawei EMUI i HarmonyOS umożliwia obejście weryfikacji nazwy pakietu. Jej wykorzystanie może prowadzić do naruszenia integralności systemu oraz jego dostępności.
▸ Pokaż oryginał (EN)
Vulnerability of package name verification being bypassed in the HwIms module. Impact: Successful exploitation of this vulnerability will affect availability.
Podatność wynika z nieprawidłowej weryfikacji nazwy pakietu (CWE-347: niewłaściwa weryfikacja podpisu/tożsamości, CWE-863: nieprawidłowa autoryzacja) w module HwIms. Atakujący zdalnie, bez uwierzytelnienia i bez interakcji użytkownika, może dostarczyć spreparowane żądanie omijające mechanizm kontroli nazwy pakietu. W efekcie moduł HwIms może zostać nakłoniony do wykonania nieautoryzowanych operacji.
Skuteczne wykorzystanie podatności pozwala atakującemu na naruszenie integralności danych oraz zakłócenie dostępności systemu lub usług powiązanych z modułem HwIms.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — biuletyn bezpieczeństwa Huawei z marca 2024 dostępny pod adresem https://consumer.huawei.com/en/support/bulletin/2024/3/
Urządzenia Huawei z systemem EMUI oraz HarmonyOS — dokładne wersje wskazane w referencjach producenta (biuletyn bezpieczeństwa Huawei z marca 2024).
Podatność opublikowana w biuletynie bezpieczeństwa Huawei z marca 2024. Wektor ataku sieciowy bez wymaganych uprawnień i interakcji użytkownika (AV:N/AC:L/PR:N/UI:N) podnosi ryzyko praktycznego wykorzystania.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:HHuawei Emui
OSHuawei12.0.013.0.0Huawei Harmonyos
OSHuawei2.0.02.1.03.0.03.1.04.0.0
Powiązane podatności
HarmonyOS: przepełnienie bufora sterty (heap buffer overflow) w module WEB
Pominięcie uwierzytelnienia w module autoryzacji urządzeń Huawei HarmonyOS
Błąd kontroli uprawnień w module zarządzania pamięcią Huawei HarmonyOS
Nieobsłużony wyjątek w module Graphics systemów Huawei EMUI/HarmonyOS
Podatność kontroli dostępu w module weryfikacji bezpieczeństwa Huawei