CRITICAL🇬🇧 English

CVE-2025-64314

Błąd kontroli uprawnień w module zarządzania pamięcią Huawei HarmonyOS

CVSS 9.3v3.1pub. 2025-11-28upd. 2025-12-02

W module zarządzania pamięcią systemu Huawei HarmonyOS wykryto podatność klasy CWE-843 (type confusion) wynikającą z nieprawidłowej kontroli uprawnień. Ocena CVSS 9.3 wskazuje na krytyczny poziom zagrożenia, a skuteczne wykorzystanie może poważnie wpłynąć na poufność, integralność i dostępność systemu.

Pokaż oryginał (EN)

Permission control vulnerability in the memory management module. Impact: Successful exploitation of this vulnerability may affect confidentiality.

🤖 Analiza AI
Jak działa

Podatność polega na nieprawidłowej kontroli uprawnień w module zarządzania pamięcią, sklasyfikowanej jako type confusion (CWE-843). Wektor ataku wskazuje na lokalny dostęp bez wymogu uprawnień i bez interakcji użytkownika, jednak z możliwością wpływu wykraczającego poza zakres atakowanego komponentu (Scope: Changed). Atakujący działający lokalnie może manipulować typami obiektów w pamięci w sposób wykraczający poza przyznane mu uprawnienia.

Skutki

Udane wykorzystanie podatności może skutkować naruszeniem poufności danych — producent wskazuje wpływ na confidentiality. Wektor CVSS wskazuje jednocześnie na wysoki wpływ na integralność i dostępność, co sugeruje możliwość nieautoryzowanego dostępu do danych, modyfikacji zasobów lub destabilizacji systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — biuletyn bezpieczeństwa dostępny pod adresem: https://consumer.huawei.com/cn/support/bulletinlaptops/2025/11/

Kogo dotyczy

Huawei HarmonyOS — dokładne wersje wskazane w referencjach producenta (biuletyn bezpieczeństwa Huawei z listopada 2025)

CVSS Vector
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Huawei Harmonyos

    OS
    Huawei
    5.1.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-34865CRITICAL10.0PL ✓ten sam produkt

HarmonyOS: przepełnienie bufora sterty (heap buffer overflow) w module WEB

CVE-2026-28536CRITICAL9.6PL ✓ten sam produkt

Pominięcie uwierzytelnienia w module autoryzacji urządzeń Huawei HarmonyOS

CVE-2024-42037CRITICAL9.3PL ✓ten sam produkt

Nieobsłużony wyjątek w module Graphics systemów Huawei EMUI/HarmonyOS

CVE-2024-39671CRITICAL9.3PL ✓ten sam produkt

Podatność kontroli dostępu w module weryfikacji bezpieczeństwa Huawei

CVE-2023-52538CRITICAL9.1PL ✓ten sam produkt

Ominięcie weryfikacji nazwy pakietu w module HwIms (Huawei EMUI/HarmonyOS)