CRITICAL🇬🇧 English

CVE-2026-49191

Acer Connect M6E 5G — hardkodowane klucze API w M3WebServer (Auth Bypass)

CVSS 9.3v4.0pub. 2026-06-04

Firmware urządzenia Acer Connect M6E 5G zawiera zakodowane na stałe klucze API backendu w produkcyjnej wersji serwera M3WebServer. Podatność umożliwia nieuwierzytelnionemu atakującemu przejęcie kontroli nad urządzeniem bez znajomości danych logowania.

Pokaż oryginał (EN)

The production build of the M3WebServer hard-codes its backend API keys, which can be easily intercepted through verbose error handling pages.

🤖 Analiza AI
Jak działa

Produkcyjna wersja M3WebServer posiada hardkodowane klucze API backendu, które nie są usuwane ani zaciemniane przed wdrożeniem. Klucze te mogą zostać przechwycone przez atakującego za pośrednictwem stron obsługi błędów, które w trybie verbose ujawniają szczegółowe informacje diagnostyczne. Uzyskanie tych kluczy pozwala atakującemu na uwierzytelnienie się względem API bez znajomości prawidłowych poświadczeń użytkownika.

Skutki

Atakujący zdalny, nieuwierzytelniony może uzyskać pełny dostęp do interfejsu API urządzenia, co prowadzi do naruszenia poufności, integralności oraz dostępności systemu (wysokie ryzyko we wszystkich trzech kategoriach według wektora CVSS).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://community.acer.com/en/kb/articles/19707). Do czasu aktualizacji zaleca się ograniczenie dostępu do interfejsu administracyjnego urządzenia wyłącznie do zaufanych sieci oraz wyłączenie ekspozycji panelu zarządzania na sieć publiczną.

Kogo dotyczy

Acer Connect M6E 5G oraz odpowiadający mu firmware (Acer Connect M6E 5G Firmware) — konkretne wersje wskazane w referencjach producenta

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Acer Connect M6e 5g

    HW
    Acer
    wszystkie wersje
  • Acer Connect M6e 5g Firmware

    OS
    Acer
    ≤ m6e_ai_1.00.000019
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2026-49194CRITICAL9.4PL ✓ten sam produkt

Acer Connect M6E 5G — pominięcie uwierzytelnienia przez procedurę debugowania

CVE-2026-50208CRITICAL9.2PL ✓ten sam produkt

Acer Connect M6E 5G: wyłączona walidacja TLS i zakodowane klucze DES umożliwiają MITM

CVE-2026-49185CRITICAL10.0PL ✓ten sam produkt

Command injection w Acer Connect M6E 5G via FieldX MDM adb messaging

CVE-2026-49190CRITICAL9.4PL ✓ten sam produkt

Command injection w Acer Connect M6E 5G — nieautoryzowane wykonanie poleceń

CVE-2026-50209CRITICAL9.3PL ✓ten sam produkt

Acer Connect M6E 5G – przejęcie kontroli MDM przez broadcast event