CRITICAL🇬🇧 English

CVE-2026-49185

Command injection w Acer Connect M6E 5G via FieldX MDM adb messaging

CVSS 10.0v4.0pub. 2026-06-04

Podatność typu command injection w oprogramowaniu Acer Connect M6E 5G pozwala na wstrzyknięcie dowolnych poleceń systemowych poprzez temat wiadomości FieldX MDM adb. Jest to podatność krytyczna (CVSS 10.0), nie wymagająca uwierzytelnienia ani interakcji użytkownika.

Pokaż oryginał (EN)

The FieldX MDM adb messaging topic passes unverified payloads directly into Runtime.exec(), allowing command/instruction injection.

🤖 Analiza AI
Jak działa

Temat wiadomości (messaging topic) FieldX MDM adb przekazuje niezweryfikowane payload'y bezpośrednio do funkcji Runtime.exec(). Brak walidacji i sanityzacji danych wejściowych umożliwia atakującemu osadzenie w payload'zie dowolnych poleceń systemowych, które zostaną wykonane przez proces z uprawnieniami aplikacji. Atak może być przeprowadzony zdalnie, bez uwierzytelnienia i bez jakiejkolwiek interakcji ze strony użytkownika urządzenia.

Skutki

Atakujący może zdalnie wykonać dowolne polecenia systemowe na urządzeniu (RCE), co potencjalnie prowadzi do pełnego przejęcia kontroli nad urządzeniem oraz naruszenia poufności, integralności i dostępności zarówno samego urządzenia, jak i systemów z nim połączonych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://community.acer.com/en/kb/articles/19707)

Kogo dotyczy

Acer Connect M6E 5G oraz oprogramowanie Acer Connect M6E 5G Firmware — dokładne wersje wskazane w referencjach producenta

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Acer Connect M6e 5g

    HW
    Acer
    wszystkie wersje
  • Acer Connect M6e 5g Firmware

    OS
    Acer
    ≤ m6e_ai_1.00.000019
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Command Injection
CWE
Referencje

Powiązane podatności

CVE-2026-49194CRITICAL9.4PL ✓ten sam produkt

Acer Connect M6E 5G — pominięcie uwierzytelnienia przez procedurę debugowania

CVE-2026-50208CRITICAL9.2PL ✓ten sam produkt

Acer Connect M6E 5G: wyłączona walidacja TLS i zakodowane klucze DES umożliwiają MITM

CVE-2026-49191CRITICAL9.3PL ✓ten sam produkt

Acer Connect M6E 5G — hardkodowane klucze API w M3WebServer (Auth Bypass)

CVE-2026-49190CRITICAL9.4PL ✓ten sam produkt

Command injection w Acer Connect M6E 5G — nieautoryzowane wykonanie poleceń

CVE-2026-50209CRITICAL9.3PL ✓ten sam produkt

Acer Connect M6E 5G – przejęcie kontroli MDM przez broadcast event