CRITICAL🇬🇧 English

CVE-2026-50209

Acer Connect M6E 5G – przejęcie kontroli MDM przez broadcast event

CVSS 9.3v4.0pub. 2026-06-04

Podatność w oprogramowaniu Acer Connect M6E 5G umożliwia złośliwemu oprogramowaniu na urządzeniu nadpisanie domyślnego adresu serwera MDM (Mobile Device Management), przekazując kontrolę administracyjną zewnętrznemu atakującemu. Jest to podatność klasy CWE-732, polegająca na nieprawidłowych uprawnieniach do krytycznych zasobów.

Pokaż oryginał (EN)

Broadcast events allow malicious software to rewrite the device's default Mobile Device Management (MDM) endpoint address, shifting administrative ownership to an external attacker.

🤖 Analiza AI
Jak działa

Aplikacja z uprawnieniami lokalnego użytkownika może wysyłać broadcast events, które są obsługiwane przez system bez odpowiedniej weryfikacji uprawnień. Brak wystarczającej kontroli dostępu do tych zdarzeń pozwala złośliwemu oprogramowaniu na zapis nowego adresu endpointu MDM. W efekcie urządzenie zaczyna raportować do serwera kontrolowanego przez atakującego, a nie do legalnego administratora.

Skutki

Atakujący może przejąć pełną kontrolę administracyjną nad urządzeniem, zarządzając nim za pośrednictwem własnego serwera MDM, co obejmuje wysoką poufność, integralność i dostępność zarówno systemu, jak i zasobów z nim powiązanych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://community.acer.com/en/kb/articles/19707

Kogo dotyczy

Acer Connect M6E 5G oraz jego oprogramowanie firmware (Acer Connect M6E 5G Firmware) — konkretne wersje wskazane w referencjach producenta.

CVSS Vector
CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Acer Connect M6e 5g

    HW
    Acer
    wszystkie wersje
  • Acer Connect M6e 5g Firmware

    OS
    Acer
    ≤ m6e_ai_1.00.000019
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-49191CRITICAL9.3PL ✓ten sam produkt

Acer Connect M6E 5G — hardkodowane klucze API w M3WebServer (Auth Bypass)

CVE-2026-49194CRITICAL9.4PL ✓ten sam produkt

Acer Connect M6E 5G — pominięcie uwierzytelnienia przez procedurę debugowania

CVE-2026-49185CRITICAL10.0PL ✓ten sam produkt

Command injection w Acer Connect M6E 5G via FieldX MDM adb messaging

CVE-2026-49190CRITICAL9.4PL ✓ten sam produkt

Command injection w Acer Connect M6E 5G — nieautoryzowane wykonanie poleceń

CVE-2026-50208CRITICAL9.2PL ✓ten sam produkt

Acer Connect M6E 5G: wyłączona walidacja TLS i zakodowane klucze DES umożliwiają MITM