CRITICAL🇬🇧 English

CVE-2026-49197

Acer Connect — pominięcie uwierzytelnienia przez błąd walidacji nagłówka Authorization

CVSS 10.0v4.0pub. 2026-05-29upd. 2026-06-08

Endpointy webowe aplikacji Acer Connect nieprawidłowo weryfikują nagłówek HTTP Authorization, co pozwala atakującemu na ominięcie mechanizmu uwierzytelnienia bez znajomości prawidłowych danych logowania. Podatność otrzymała maksymalny wynik CVSS 10.0, co oznacza krytyczne zagrożenie dla dostępności, poufności i integralności systemu.

Pokaż oryginał (EN)

Web endpoints intended for the Acer Connect app improperly validate the HTTP Authorization header, failing to block requests when Base64 decoding fails.

🤖 Analiza AI
Jak działa

Mechanizm uwierzytelnienia nie blokuje żądań HTTP w przypadku, gdy dekodowanie Base64 wartości nagłówka Authorization kończy się niepowodzeniem — zamiast odrzucić nieprawidłowe żądanie, endpoint przepuszcza je dalej jako uwierzytelnione. Atakujący sieciowy, bez wymaganych uprawnień i bez interakcji użytkownika, może wysłać spreparowane żądanie HTTP z nieprawidłowym lub celowo zepsutym nagłówkiem Authorization, obchodząc w ten sposób całą warstwę kontroli dostępu (CWE-287: Improper Authentication).

Skutki

Nieuwierzytelniony zdalny atakujący może uzyskać pełny dostęp do chronionych zasobów i funkcji aplikacji, potencjalnie prowadząc do przejęcia kontroli nad urządzeniem, wycieku danych oraz naruszenia integralności systemu i zasobów z nim powiązanych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi przez Acer pod adresem https://community.acer.com/en/kb/articles/19672

Kogo dotyczy

Webowe endpointy przeznaczone dla aplikacji Acer Connect — dokładne wersje produktów wskazane w referencjach producenta (https://community.acer.com/en/kb/articles/19672)

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Acer Predator Connect W6x

    HW
    Acer
    wszystkie wersje
  • Acer Predator Connect W6x Firmware

    OS
    Acer
    ≤ w6x_gbl_2.00.000005
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2026-49199CRITICAL10.0PL ✓ten sam produkt

Command injection przez MQTT umożliwia wykonanie kodu z uprawnieniami root

CVE-2026-49195HIGH8.7ten sam produkt

Unauthenticated Debug Service. The /sbin/mtk_dut binary is exposed on TCP port 9000 without authentication, al...

CVE-2026-49196HIGH8.6ten sam produkt

The Wi-Fi device blocking feature fails to sanitize MAC address input, allowing injection and execution of arb...

CVE-2026-49198HIGH8.3ten sam produkt

Improper access control in the MQTT broker allows wildcard topic subscriptions, exposing all MQTT traffic to u...

CVE-2026-49185CRITICAL10.0PL ✓ten sam vendor

Command injection w Acer Connect M6E 5G via FieldX MDM adb messaging