CRITICAL🇬🇧 English

CVE-2026-50208

Acer Connect M6E 5G: wyłączona walidacja TLS i zakodowane klucze DES umożliwiają MITM

CVSS 9.2v4.0pub. 2026-06-04

Podatność w oprogramowaniu Acer Connect M6E 5G polega na wyłączeniu standardowej walidacji certyfikatów TLS (rutyny TrustAllCerts) w połączeniu z zakodowanymi na stałe kluczami szyfrowania DES. Stanowi to poważne zagrożenie, ponieważ atakujący typu Man-in-the-Middle może przechwycić i odszyfrować ruch sieciowy urządzenia.

Pokaż oryginał (EN)

High-risk TrustAllCerts routines disable standard TLS certificate validation. Combined with hard-coded DES symmetric encryption keys, a Man-in-the-Middle (MITM) actor could decrypt network traffic.

🤖 Analiza AI
Jak działa

Oprogramowanie urządzenia zawiera niebezpieczne rutyny TrustAllCerts, które całkowicie pomijają weryfikację certyfikatów TLS — uniemożliwia to wykrycie fałszywych lub niezaufanych certyfikatów podczas komunikacji sieciowej. Jednocześnie w kodzie firmware'u zakodowane są na stałe klucze symetrycznego szyfrowania DES (CWE-330: użycie niewystarczająco losowych wartości). Połączenie obu słabości oznacza, że atakujący zajmujący pozycję Man-in-the-Middle może nie tylko przechwycić sesję TLS, ale także odszyfrować przesyłane dane przy użyciu znanych kluczy DES.

Skutki

Atakujący w roli Man-in-the-Middle może odszyfrować i odczytać poufny ruch sieciowy przechodzący przez urządzenie, co prowadzi do naruszenia poufności i integralności danych użytkownika.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://community.acer.com/en/kb/articles/19707). Zaleca się również segmentację sieci, ograniczenie ekspozycji urządzenia na niezaufane sieci oraz monitorowanie ruchu sieciowego do czasu wdrożenia aktualizacji.

Kogo dotyczy

Acer Connect M6E 5G oraz Acer Connect M6E 5G Firmware — konkretne wersje wskazane w referencjach producenta.

CVSS Vector
CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Acer Connect M6e 5g

    HW
    Acer
    wszystkie wersje
  • Acer Connect M6e 5g Firmware

    OS
    Acer
    ≤ m6e_ai_1.00.000019
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-49191CRITICAL9.3PL ✓ten sam produkt

Acer Connect M6E 5G — hardkodowane klucze API w M3WebServer (Auth Bypass)

CVE-2026-49194CRITICAL9.4PL ✓ten sam produkt

Acer Connect M6E 5G — pominięcie uwierzytelnienia przez procedurę debugowania

CVE-2026-49185CRITICAL10.0PL ✓ten sam produkt

Command injection w Acer Connect M6E 5G via FieldX MDM adb messaging

CVE-2026-49190CRITICAL9.4PL ✓ten sam produkt

Command injection w Acer Connect M6E 5G — nieautoryzowane wykonanie poleceń

CVE-2026-50209CRITICAL9.3PL ✓ten sam produkt

Acer Connect M6E 5G – przejęcie kontroli MDM przez broadcast event