Podatność typu authentication bypass w module uwierzytelniania urządzeń systemu Huawei HarmonyOS umożliwia nieuwierzytelnionemu atakującemu w sieci lokalnej ominięcie mechanizmów weryfikacji tożsamości. Wysoki wynik CVSS 9.6 oraz brak wymagań dotyczących uprawnień i interakcji użytkownika czynią tę podatność szczególnie niebezpieczną.
▸ Pokaż oryginał (EN)
Authentication bypass vulnerability in the device authentication module. Impact: Successful exploitation of this vulnerability will affect integrity and confidentiality.
Podatność sklasyfikowana jako CWE-305 (Authentication Bypass by Primary Weakness) polega na wadliwej implementacji modułu uwierzytelniania urządzeń w systemie HarmonyOS. Atakujący znajdujący się w tej samej sieci lokalnej (wektor AV:A) może ominąć mechanizmy uwierzytelniania bez posiadania jakichkolwiek uprawnień i bez konieczności interakcji ze strony użytkownika. Zakres ataku wykracza poza atakowany komponent (S:C), co oznacza możliwość wpływu na inne zasoby systemowe.
Skuteczne wykorzystanie podatności prowadzi do naruszenia integralności oraz poufności danych w systemie. Atakujący może uzyskać nieautoryzowany dostęp do chronionych zasobów i funkcji urządzenia z pominięciem mechanizmów kontroli dostępu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — biuletyny bezpieczeństwa Huawei z marca 2026 r. dostępne pod adresami: https://consumer.huawei.com/en/support/bulletin/2026/3/, https://consumer.huawei.com/en/support/bulletinlaptops/2026/3/, https://consumer.huawei.com/en/support/bulletinvision/2026/3/
Urządzenia z systemem Huawei HarmonyOS — konkretne wersje wskazane w referencjach producenta (biuletyny bezpieczeństwa Huawei z marca 2026 r., obejmujące urządzenia konsumenckie, laptopy oraz urządzenia z serii Vision).
Podatność dotyczy trzech kategorii produktów Huawei: urządzeń konsumenckich (smartfony/tablety), laptopów oraz urządzeń Vision — co wynika z obecności trzech odrębnych biuletynów bezpieczeństwa w referencjach producenta.
CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HHuawei Harmonyos
OSHuawei5.1.06.0.0
Powiązane podatności
HarmonyOS: przepełnienie bufora sterty (heap buffer overflow) w module WEB
Błąd kontroli uprawnień w module zarządzania pamięcią Huawei HarmonyOS
Nieobsłużony wyjątek w module Graphics systemów Huawei EMUI/HarmonyOS
Podatność kontroli dostępu w module weryfikacji bezpieczeństwa Huawei
Ominięcie weryfikacji nazwy pakietu w module HwIms (Huawei EMUI/HarmonyOS)