CVE-2026-50082
ŚrednieCVSS 6.5Streszczenie
Portal dewelopera Aqara (developer.aqara.com) wydaje token dewelopera dla dowolnego adresu e-mail podanego przez atakującego. Jest to przykład 'CWE-306: Brak uwierzytelnienia dla krytycznej funkcji', co stwarza ryzyko przejęcia urządzeń przez nieautoryzowanych użytkowników.
Ocena ryzyka
Organizacja narażona jest na pełne przejęcie urządzeń przez atakujących, którzy mogą wykorzystać brak uwierzytelnienia do uzyskania dostępu do krytycznych funkcji.
Rekomendacja
Zaleca się wdrożenie mechanizmów uwierzytelniania dla wszystkich krytycznych funkcji oraz monitorowanie dostępu do portalu dewelopera.
Oryginalny opis (angielski, źródło NVD)
The Aqara Cloud Developer Portal (developer.aqara.com) issued a developer token to any email address supplied by the attacker. This is an instance of "CWE-306: Missing Authentication for Critical Function" with an estimated CVSS of CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N (6.5 Medium). When combined with CVE-2026-50083, CVE-2026-50084, and CVE-2026-50085, any otherwise-unauthenticated attacker could execute a full takeover of affected devices.

