CRITICAL✓ PATCH🇬🇧 English

CVE-2024-3701

Brak uwierzytelnienia w aplikacji systemowej Tecno HiOS (com.transsion.kolun.aiservice)

CVSS 9.8v3.1pub. 2024-04-15upd. 2025-06-17

Komponent aplikacji systemowej com.transsion.kolun.aiservice w systemie Tecno HiOS nie weryfikuje tożsamości wywołującego, co umożliwia nieuwierzytelnionemu atakującemu zdalne nadużycie usług systemowych. Podatność uzyskała ocenę CVSS 9.8 (CRITICAL), co czyni ją jednym z najpoważniejszych zagrożeń dla urządzeń tej marki.

Pokaż oryginał (EN)

The system application (com.transsion.kolun.aiservice) component does not perform an authentication check, which allows attackers to perform malicious exploitations and affect system services.

🤖 Analiza AI
Jak działa

Komponent com.transsion.kolun.aiservice, będący częścią oprogramowania systemowego urządzeń Tecno HiOS, nie implementuje mechanizmu uwierzytelniania (CWE-306) ani weryfikacji tożsamości (CWE-287) przed obsługą żądań. Oznacza to, że każda aplikacja lub zewnętrzny podmiot zdolny do komunikacji z tym komponentem może go wywołać bez żadnych uprawnień. Atakujący może w ten sposób wchodzić w interakcję z usługami systemowymi i wykonywać złośliwe operacje, które normalnie wymagałyby stosownych uprawnień.

Skutki

Atakujący bez żadnych uprawnień i bez interakcji użytkownika może zdalnie wykonywać złośliwe działania na usługach systemowych urządzenia, potencjalnie uzyskując pełny dostęp do poufnych danych, modyfikując stan systemu lub powodując jego destabilizację (wysoka poufność, integralność i dostępność według wektora CVSS).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — aktualizacje zabezpieczeń publikowane są przez Tecno Security Response Center pod adresem https://security.tecno.com/SRC/securityUpdates?type=SA. Zaleca się jak najszybsze wgranie dostępnych aktualizacji oprogramowania systemowego urządzeń Tecno.

Kogo dotyczy

Urządzenia z systemem Tecno HiOS zawierające komponent aplikacji systemowej com.transsion.kolun.aiservice; szczegółowe wersje wskazane w referencjach producenta.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Tecno Hios

    OS
    Tecno
    13.0.0
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2025-15385CRITICAL9.8PL ✓ten sam vendor

Pominięcie uwierzytelnienia w aplikacji Tecno Boomplay (Android)

CVE-2025-3698HIGH7.5ten sam vendor

Interface exposure vulnerability in the mobile application (com.transsion.carlcare) may lead to information l...

CVE-2025-2190HIGH8.1ten sam vendor

The mobile application (com.transsnet.store) has a man-in-the-middle attack vulnerability, which may lead to c...

CVE-2019-15417HIGH7.8ten sam vendor

The Tecno Spark Pro Android device with a build fingerprint of TECNO/H3722/TECNO-K8:7.0/NRD90M/K8-H3722ABCDE-N...

CVE-2025-9056MEDIUM5.3ten sam vendor

Unprotected service in the AudioLink component allows a local attacker to overwrite system files via unauthori...