W module zarządzania pamięcią systemu Huawei HarmonyOS wykryto podatność klasy CWE-843 (type confusion) wynikającą z nieprawidłowej kontroli uprawnień. Ocena CVSS 9.3 wskazuje na krytyczny poziom zagrożenia, a skuteczne wykorzystanie może poważnie wpłynąć na poufność, integralność i dostępność systemu.
▸ Pokaż oryginał (EN)
Permission control vulnerability in the memory management module. Impact: Successful exploitation of this vulnerability may affect confidentiality.
Podatność polega na nieprawidłowej kontroli uprawnień w module zarządzania pamięcią, sklasyfikowanej jako type confusion (CWE-843). Wektor ataku wskazuje na lokalny dostęp bez wymogu uprawnień i bez interakcji użytkownika, jednak z możliwością wpływu wykraczającego poza zakres atakowanego komponentu (Scope: Changed). Atakujący działający lokalnie może manipulować typami obiektów w pamięci w sposób wykraczający poza przyznane mu uprawnienia.
Udane wykorzystanie podatności może skutkować naruszeniem poufności danych — producent wskazuje wpływ na confidentiality. Wektor CVSS wskazuje jednocześnie na wysoki wpływ na integralność i dostępność, co sugeruje możliwość nieautoryzowanego dostępu do danych, modyfikacji zasobów lub destabilizacji systemu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — biuletyn bezpieczeństwa dostępny pod adresem: https://consumer.huawei.com/cn/support/bulletinlaptops/2025/11/
Huawei HarmonyOS — dokładne wersje wskazane w referencjach producenta (biuletyn bezpieczeństwa Huawei z listopada 2025)
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HHuawei Harmonyos
OSHuawei5.1.0
Powiązane podatności
HarmonyOS: przepełnienie bufora sterty (heap buffer overflow) w module WEB
Pominięcie uwierzytelnienia w module autoryzacji urządzeń Huawei HarmonyOS
Nieobsłużony wyjątek w module Graphics systemów Huawei EMUI/HarmonyOS
Podatność kontroli dostępu w module weryfikacji bezpieczeństwa Huawei
Ominięcie weryfikacji nazwy pakietu w module HwIms (Huawei EMUI/HarmonyOS)