CRITICAL🇬🇧 English

CVE-2026-49200

Ujawnienie danych uwierzytelniających w pliku logu firmware urządzeń Acer

CVSS 10.0v4.0pub. 2026-05-29upd. 2026-06-08

Plik logu acer_cgi.log w firmware urządzenia jest dostępny bez uwierzytelnienia przez interfejs webowy i zawiera dane logowania w postaci jawnego tekstu. Umożliwia to nieautoryzowany dostęp do systemu przez atakującego zdalnie.

Pokaż oryginał (EN)

The acer_cgi.log file in the device firmware is accessible without authentication via the web interface. This file contains cleartext login credentials (for web and Telnet), leading to unauthorized system access.

🤖 Analiza AI
Jak działa

Plik acer_cgi.log przechowuje dane uwierzytelniające (loginy i hasła) do interfejsu webowego oraz usługi Telnet w postaci niezaszyfrowanej (cleartext). Plik ten jest dostępny publicznie przez interfejs webowy urządzenia bez konieczności podania jakichkolwiek danych logowania. Atakujący może pobrać plik bezpośrednio przez sieć, odczytać zawarte w nim dane uwierzytelniające i wykorzystać je do przejęcia kontroli nad urządzeniem.

Skutki

Atakujący uzyskuje pełny dostęp do urządzenia za pośrednictwem interfejsu webowego lub protokołu Telnet przy użyciu skradzionych danych uwierzytelniających, co prowadzi do całkowitego przejęcia systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://community.acer.com/en/kb/articles/19673). Do czasu wdrożenia poprawki zaleca się ograniczenie dostępu do interfejsu webowego urządzenia wyłącznie do zaufanych sieci lub adresów IP oraz wyłączenie usługi Telnet.

Kogo dotyczy

Urządzenia Acer wyposażone w podatne firmware zawierające plik acer_cgi.log — dokładne modele wskazane w referencjach producenta

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Acer Wave 7

    HW
    Acer
    wszystkie wersje
  • Acer Wave 7 Firmware

    OS
    Acer
    ≤ t7c_gbl_1.01.000055
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-49201CRITICAL10.0PL ✓ten sam produkt

Zakodowany na stałe klucz AES w upload.cgi umożliwia wstrzyknięcie backdoora

CVE-2026-49190CRITICAL9.4PL ✓ten sam vendor

Command injection w Acer Connect M6E 5G — nieautoryzowane wykonanie poleceń

CVE-2026-49191CRITICAL9.3PL ✓ten sam vendor

Acer Connect M6E 5G — hardkodowane klucze API w M3WebServer (Auth Bypass)

CVE-2026-49185CRITICAL10.0PL ✓ten sam vendor

Command injection w Acer Connect M6E 5G via FieldX MDM adb messaging

CVE-2026-49194CRITICAL9.4PL ✓ten sam vendor

Acer Connect M6E 5G — pominięcie uwierzytelnienia przez procedurę debugowania