CRITICAL🇬🇧 English

CVE-2026-34865

HarmonyOS: przepełnienie bufora sterty (heap buffer overflow) w module WEB

CVSS 10.0v4.0pub. 2026-04-13upd. 2026-04-17

Podatność typu out-of-bounds write (CWE-122 — heap buffer overflow) w module WEB systemu Huawei HarmonyOS pozwala zdalnemu, nieuwierzytelnionemu atakującemu na naruszenie dostępności i poufności systemu. Ocena CVSS 10.0 czyni ją podatnością krytyczną o najwyższym możliwym priorytecie.

Pokaż oryginał (EN)

Out-of-bounds write vulnerability in the WEB module.Impact: Successful exploitation of this vulnerability will affect availability and confidentiality.

🤖 Analiza AI
Jak działa

Błąd polega na zapisie danych poza granicami przydzielonego bufora na stercie (heap buffer overflow) w module WEB systemu HarmonyOS. Atakujący może dostarczyć specjalnie spreparowane dane wejściowe, które powodują nadpisanie pamięci wykraczając poza przeznaczony obszar. Ze względu na wektor sieciowy (AV:N), brak wymagań co do uwierzytelnienia (PR:N) i interakcji użytkownika (UI:N), exploit można przeprowadzić zdalnie bez jakiejkolwiek współpracy ofiary.

Skutki

Skuteczne wykorzystanie podatności może prowadzić do naruszenia poufności danych (np. ujawnienia informacji z pamięci procesu) oraz utraty dostępności systemu (crash, odmowa usługi lub potencjalne wykonanie dowolnego kodu). Wpływ obejmuje zarówno system, jak i zasoby powiązanych komponentów.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://consumer.huawei.com/en/support/bulletinwearables/2026/4/. Zaleca się jak najszybsze wdrożenie aktualizacji oprogramowania układowego urządzeń Huawei z systemem HarmonyOS.

Kogo dotyczy

System operacyjny Huawei HarmonyOS — dokładne wersje wskazane w referencjach producenta (biuletyn bezpieczeństwa Huawei, kwiecień 2026, sekcja wearables).

Uwagi

Podatność dotyczy modułu WEB w kontekście urządzeń typu wearable (odsyłacz do biuletynu wearables). Brak publicznego exploitu w chwili publikacji — CISA KEV: NIE.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Huawei Harmonyos

    OS
    Huawei
    6.0.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Memory
CWE
Referencje

Powiązane podatności

CVE-2026-28536CRITICAL9.6PL ✓ten sam produkt

Pominięcie uwierzytelnienia w module autoryzacji urządzeń Huawei HarmonyOS

CVE-2025-64314CRITICAL9.3PL ✓ten sam produkt

Błąd kontroli uprawnień w module zarządzania pamięcią Huawei HarmonyOS

CVE-2024-42037CRITICAL9.3PL ✓ten sam produkt

Nieobsłużony wyjątek w module Graphics systemów Huawei EMUI/HarmonyOS

CVE-2024-39671CRITICAL9.3PL ✓ten sam produkt

Podatność kontroli dostępu w module weryfikacji bezpieczeństwa Huawei

CVE-2023-52538CRITICAL9.1PL ✓ten sam produkt

Ominięcie weryfikacji nazwy pakietu w module HwIms (Huawei EMUI/HarmonyOS)