Podatność typu command injection (CWE-78) w oprogramowaniu urządzenia Acer Connect M6E 5G pozwala uwierzytelnionemu, zdalnemu atakującemu na nieautoryzowane wykonanie poleceń systemowych. Wysoki wynik CVSS 9.4 wskazuje na poważne zagrożenie zarówno dla samego urządzenia, jak i systemów z nim powiązanych.
▸ Pokaż oryginał (EN)
The system fails to evaluate instructional permissions over multiple internal operation codes (opcodes), permitting unauthorized application installations or command executions.
System nie weryfikuje poprawnie uprawnień do wykonywania operacji dla wielu wewnętrznych kodów operacyjnych (opcodes). Skutkuje to brakiem właściwej kontroli dostępu, przez co atakujący posiadający podstawowy dostęp (PR:L) może wysyłać żądania odwołujące się do tych opcodes bez odpowiedniej autoryzacji. W efekcie możliwe jest nieautoryzowane instalowanie aplikacji lub bezpośrednie wykonywanie poleceń systemowych na urządzeniu.
Atakujący może uzyskać pełną kontrolę nad urządzeniem poprzez wykonanie dowolnych poleceń systemowych lub instalację nieautoryzowanego oprogramowania, a także wpłynąć na integralność i dostępność systemów powiązanych z siecią obsługiwaną przez urządzenie.
Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://community.acer.com/en/kb/articles/19707
Acer Connect M6E 5G oraz jego oprogramowanie układowe (firmware) — wersje wskazane w referencjach producenta
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XAcer Connect M6e 5g
HWAcerwszystkie wersjeAcer Connect M6e 5g Firmware
OSAcer≤ m6e_ai_1.00.000019
Powiązane podatności
Acer Connect M6E 5G — pominięcie uwierzytelnienia przez procedurę debugowania
Acer Connect M6E 5G: wyłączona walidacja TLS i zakodowane klucze DES umożliwiają MITM
Command injection w Acer Connect M6E 5G via FieldX MDM adb messaging
Acer Connect M6E 5G — hardkodowane klucze API w M3WebServer (Auth Bypass)
Acer Connect M6E 5G – przejęcie kontroli MDM przez broadcast event