CVE-2026-49325
ŚrednieCVSS 4.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 6 - wyżej niż 6% wszystkich znanych CVE
Streszczenie
Podatność w motocyklu Indian Motorcycle Scout Bobber + Tech (model 2025) umożliwia fizycznemu atakującemu z dostępem do wiązki przewodów modułu WCM ominięcie blokady antykradzieżowej. Moduł WCM wysyła sygnał wyłączenia do innego sterownika poprzez zmianę napięcia na dedykowanej parze przewodów, ale odbiornik nie odróżnia aktywnego impulsu wyłączenia od stanu rozwarcia/odłączenia obwodu. Przerwanie odpowiednich przewodów pozostawia motocykl w pełni sprawnym, nawet jeśli WCM nie zweryfikował kodu PIN użytkownika.
Ocena ryzyka
Ryzyko polega na możliwości kradzieży motocykla bez znajomości kodu PIN, ponieważ atakujący może fizycznie przerwać przewody sygnałowe, co uniemożliwia systemowi antykradzieżowemu wyłączenie pojazdu. Podatność wymaga fizycznego dostępu do wiązki przewodów, ale nie wymaga zaawansowanych umiejętności technicznych.
Rekomendacja
Zaleca się natychmiastowe wdrożenie poprawek od producenta po ich udostępnieniu oraz rozważenie fizycznego zabezpieczenia wiązki przewodów WCM przed nieautoryzowanym dostępem. Do czasu wydania łatki należy monitorować komunikaty producenta i unikać pozostawiania motocykla bez nadzoru w miejscach publicznych.
Oryginalny opis (angielski, źródło NVD)
Improper handling of physical conditions in the bike-shutdown control of the Indian Motorcycle Scout Bobber + Tech 2025 model year allows a physical attacker with access to the Wireless Control Module (WCM) wiring harness to bypass the anti-theft shutdown. The WCM signals shutdown to a peer ECU via a falling-edge voltage transition on a dedicated wire pair. The receiving ECU does not distinguish between an active shutdown pulse and an open-circuit / disconnected condition; interrupting the relevant wires leaves the motorcycle fully operable even though the WCM never validated the rider's PIN. Specific connector details have been withheld pending vendor remediation.

