CRITICAL🇬🇧 English

CVE-2026-28536

Pominięcie uwierzytelnienia w module autoryzacji urządzeń Huawei HarmonyOS

CVSS 9.6v3.1pub. 2026-03-05upd. 2026-03-06

Podatność typu authentication bypass w module uwierzytelniania urządzeń systemu Huawei HarmonyOS umożliwia nieuwierzytelnionemu atakującemu w sieci lokalnej ominięcie mechanizmów weryfikacji tożsamości. Wysoki wynik CVSS 9.6 oraz brak wymagań dotyczących uprawnień i interakcji użytkownika czynią tę podatność szczególnie niebezpieczną.

Pokaż oryginał (EN)

Authentication bypass vulnerability in the device authentication module. Impact: Successful exploitation of this vulnerability will affect integrity and confidentiality.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-305 (Authentication Bypass by Primary Weakness) polega na wadliwej implementacji modułu uwierzytelniania urządzeń w systemie HarmonyOS. Atakujący znajdujący się w tej samej sieci lokalnej (wektor AV:A) może ominąć mechanizmy uwierzytelniania bez posiadania jakichkolwiek uprawnień i bez konieczności interakcji ze strony użytkownika. Zakres ataku wykracza poza atakowany komponent (S:C), co oznacza możliwość wpływu na inne zasoby systemowe.

Skutki

Skuteczne wykorzystanie podatności prowadzi do naruszenia integralności oraz poufności danych w systemie. Atakujący może uzyskać nieautoryzowany dostęp do chronionych zasobów i funkcji urządzenia z pominięciem mechanizmów kontroli dostępu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — biuletyny bezpieczeństwa Huawei z marca 2026 r. dostępne pod adresami: https://consumer.huawei.com/en/support/bulletin/2026/3/, https://consumer.huawei.com/en/support/bulletinlaptops/2026/3/, https://consumer.huawei.com/en/support/bulletinvision/2026/3/

Kogo dotyczy

Urządzenia z systemem Huawei HarmonyOS — konkretne wersje wskazane w referencjach producenta (biuletyny bezpieczeństwa Huawei z marca 2026 r., obejmujące urządzenia konsumenckie, laptopy oraz urządzenia z serii Vision).

Uwagi

Podatność dotyczy trzech kategorii produktów Huawei: urządzeń konsumenckich (smartfony/tablety), laptopów oraz urządzeń Vision — co wynika z obecności trzech odrębnych biuletynów bezpieczeństwa w referencjach producenta.

CVSS Vector
CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Huawei Harmonyos

    OS
    Huawei
    5.1.06.0.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2026-34865CRITICAL10.0PL ✓ten sam produkt

HarmonyOS: przepełnienie bufora sterty (heap buffer overflow) w module WEB

CVE-2025-64314CRITICAL9.3PL ✓ten sam produkt

Błąd kontroli uprawnień w module zarządzania pamięcią Huawei HarmonyOS

CVE-2024-42037CRITICAL9.3PL ✓ten sam produkt

Nieobsłużony wyjątek w module Graphics systemów Huawei EMUI/HarmonyOS

CVE-2024-39671CRITICAL9.3PL ✓ten sam produkt

Podatność kontroli dostępu w module weryfikacji bezpieczeństwa Huawei

CVE-2023-52538CRITICAL9.1PL ✓ten sam produkt

Ominięcie weryfikacji nazwy pakietu w module HwIms (Huawei EMUI/HarmonyOS)

CVE-2026-28536 — Pominięcie uwierzytelnienia w module autoryzacji urządzeń Huawei HarmonyOS — CRITICAL 9.6 | CVEbaza.pl