Podatność typu out-of-bounds write (CWE-122 — heap buffer overflow) w module WEB systemu Huawei HarmonyOS pozwala zdalnemu, nieuwierzytelnionemu atakującemu na naruszenie dostępności i poufności systemu. Ocena CVSS 10.0 czyni ją podatnością krytyczną o najwyższym możliwym priorytecie.
▸ Pokaż oryginał (EN)
Out-of-bounds write vulnerability in the WEB module.Impact: Successful exploitation of this vulnerability will affect availability and confidentiality.
Błąd polega na zapisie danych poza granicami przydzielonego bufora na stercie (heap buffer overflow) w module WEB systemu HarmonyOS. Atakujący może dostarczyć specjalnie spreparowane dane wejściowe, które powodują nadpisanie pamięci wykraczając poza przeznaczony obszar. Ze względu na wektor sieciowy (AV:N), brak wymagań co do uwierzytelnienia (PR:N) i interakcji użytkownika (UI:N), exploit można przeprowadzić zdalnie bez jakiejkolwiek współpracy ofiary.
Skuteczne wykorzystanie podatności może prowadzić do naruszenia poufności danych (np. ujawnienia informacji z pamięci procesu) oraz utraty dostępności systemu (crash, odmowa usługi lub potencjalne wykonanie dowolnego kodu). Wpływ obejmuje zarówno system, jak i zasoby powiązanych komponentów.
Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://consumer.huawei.com/en/support/bulletinwearables/2026/4/. Zaleca się jak najszybsze wdrożenie aktualizacji oprogramowania układowego urządzeń Huawei z systemem HarmonyOS.
System operacyjny Huawei HarmonyOS — dokładne wersje wskazane w referencjach producenta (biuletyn bezpieczeństwa Huawei, kwiecień 2026, sekcja wearables).
Podatność dotyczy modułu WEB w kontekście urządzeń typu wearable (odsyłacz do biuletynu wearables). Brak publicznego exploitu w chwili publikacji — CISA KEV: NIE.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XHuawei Harmonyos
OSHuawei6.0.0
Powiązane podatności
Pominięcie uwierzytelnienia w module autoryzacji urządzeń Huawei HarmonyOS
Błąd kontroli uprawnień w module zarządzania pamięcią Huawei HarmonyOS
Nieobsłużony wyjątek w module Graphics systemów Huawei EMUI/HarmonyOS
Podatność kontroli dostępu w module weryfikacji bezpieczeństwa Huawei
Ominięcie weryfikacji nazwy pakietu w module HwIms (Huawei EMUI/HarmonyOS)