CRITICAL🇬🇧 English

CVE-2026-49190

Command injection w Acer Connect M6E 5G — nieautoryzowane wykonanie poleceń

CVSS 9.4v4.0pub. 2026-06-04

Podatność typu command injection (CWE-78) w oprogramowaniu urządzenia Acer Connect M6E 5G pozwala uwierzytelnionemu, zdalnemu atakującemu na nieautoryzowane wykonanie poleceń systemowych. Wysoki wynik CVSS 9.4 wskazuje na poważne zagrożenie zarówno dla samego urządzenia, jak i systemów z nim powiązanych.

Pokaż oryginał (EN)

The system fails to evaluate instructional permissions over multiple internal operation codes (opcodes), permitting unauthorized application installations or command executions.

🤖 Analiza AI
Jak działa

System nie weryfikuje poprawnie uprawnień do wykonywania operacji dla wielu wewnętrznych kodów operacyjnych (opcodes). Skutkuje to brakiem właściwej kontroli dostępu, przez co atakujący posiadający podstawowy dostęp (PR:L) może wysyłać żądania odwołujące się do tych opcodes bez odpowiedniej autoryzacji. W efekcie możliwe jest nieautoryzowane instalowanie aplikacji lub bezpośrednie wykonywanie poleceń systemowych na urządzeniu.

Skutki

Atakujący może uzyskać pełną kontrolę nad urządzeniem poprzez wykonanie dowolnych poleceń systemowych lub instalację nieautoryzowanego oprogramowania, a także wpłynąć na integralność i dostępność systemów powiązanych z siecią obsługiwaną przez urządzenie.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://community.acer.com/en/kb/articles/19707

Kogo dotyczy

Acer Connect M6E 5G oraz jego oprogramowanie układowe (firmware) — wersje wskazane w referencjach producenta

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Acer Connect M6e 5g

    HW
    Acer
    wszystkie wersje
  • Acer Connect M6e 5g Firmware

    OS
    Acer
    ≤ m6e_ai_1.00.000019
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Command Injection
CWE
Referencje

Powiązane podatności

CVE-2026-49194CRITICAL9.4PL ✓ten sam produkt

Acer Connect M6E 5G — pominięcie uwierzytelnienia przez procedurę debugowania

CVE-2026-50208CRITICAL9.2PL ✓ten sam produkt

Acer Connect M6E 5G: wyłączona walidacja TLS i zakodowane klucze DES umożliwiają MITM

CVE-2026-49185CRITICAL10.0PL ✓ten sam produkt

Command injection w Acer Connect M6E 5G via FieldX MDM adb messaging

CVE-2026-49191CRITICAL9.3PL ✓ten sam produkt

Acer Connect M6E 5G — hardkodowane klucze API w M3WebServer (Auth Bypass)

CVE-2026-50209CRITICAL9.3PL ✓ten sam produkt

Acer Connect M6E 5G – przejęcie kontroli MDM przez broadcast event