CVE-2026-50086
KrytyczneCVSS 10.0Streszczenie
Brama Aqara IAM/SSO (gw-builder.aqara.com) ujawnia dwukierunkowe operacje AES na kluczu podpisującym platformy bez wymogu uwierzytelnienia. To przypadek braku uwierzytelnienia dla krytycznej funkcji oraz użycia ryzykownego algorytmu kryptograficznego.
Ocena ryzyka
Brak uwierzytelnienia może prowadzić do nieautoryzowanego dostępu do klucza podpisującego, co stwarza poważne zagrożenie dla integralności danych i bezpieczeństwa systemu.
Rekomendacja
Zaleca się wprowadzenie mechanizmów uwierzytelniania dla krytycznych funkcji oraz zastąpienie używanego algorytmu AES bardziej bezpiecznym rozwiązaniem.
Oryginalny opis (angielski, źródło NVD)
The Aqara IAM/SSO gateway (gw-builder.aqara.com) exposes bidirectional AES round-trups against the platform's signing key without authentication. This is an instance of "CWE-306: Missing Authentication for Critical Function" and "CWE-327: Use of a Broken or Risky Cryptographic Algorithm," and has an estimated CVSS of CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N (7.5 High).

