Firmware urządzenia Acer Connect M6E 5G zawiera zakodowane na stałe klucze API backendu w produkcyjnej wersji serwera M3WebServer. Podatność umożliwia nieuwierzytelnionemu atakującemu przejęcie kontroli nad urządzeniem bez znajomości danych logowania.
▸ Pokaż oryginał (EN)
The production build of the M3WebServer hard-codes its backend API keys, which can be easily intercepted through verbose error handling pages.
Produkcyjna wersja M3WebServer posiada hardkodowane klucze API backendu, które nie są usuwane ani zaciemniane przed wdrożeniem. Klucze te mogą zostać przechwycone przez atakującego za pośrednictwem stron obsługi błędów, które w trybie verbose ujawniają szczegółowe informacje diagnostyczne. Uzyskanie tych kluczy pozwala atakującemu na uwierzytelnienie się względem API bez znajomości prawidłowych poświadczeń użytkownika.
Atakujący zdalny, nieuwierzytelniony może uzyskać pełny dostęp do interfejsu API urządzenia, co prowadzi do naruszenia poufności, integralności oraz dostępności systemu (wysokie ryzyko we wszystkich trzech kategoriach według wektora CVSS).
Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://community.acer.com/en/kb/articles/19707). Do czasu aktualizacji zaleca się ograniczenie dostępu do interfejsu administracyjnego urządzenia wyłącznie do zaufanych sieci oraz wyłączenie ekspozycji panelu zarządzania na sieć publiczną.
Acer Connect M6E 5G oraz odpowiadający mu firmware (Acer Connect M6E 5G Firmware) — konkretne wersje wskazane w referencjach producenta
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XAcer Connect M6e 5g
HWAcerwszystkie wersjeAcer Connect M6e 5g Firmware
OSAcer≤ m6e_ai_1.00.000019
Powiązane podatności
Acer Connect M6E 5G — pominięcie uwierzytelnienia przez procedurę debugowania
Acer Connect M6E 5G: wyłączona walidacja TLS i zakodowane klucze DES umożliwiają MITM
Command injection w Acer Connect M6E 5G via FieldX MDM adb messaging
Command injection w Acer Connect M6E 5G — nieautoryzowane wykonanie poleceń
Acer Connect M6E 5G – przejęcie kontroli MDM przez broadcast event