CVE-2026-50226
ŚrednieCVSS 5.3Streszczenie
W aplikacji AcerConnect OTA naprawiono klucze AES-128-CBC, co pozwala atakującym na fałszowanie poświadczeń autoryzacyjnych dla dowolnych numerów IMEI. Umożliwia to nieautoryzowanym osobom przeglądanie elementów katalogu oraz wyciąganie chronionych binarnych plików z wstępnie podpisanych linków w chmurze.
Ocena ryzyka
Organizacja narażona jest na ryzyko nieautoryzowanego dostępu do danych oraz możliwości wycieku wrażliwych informacji. Atakujący mogą wykorzystać tę podatność do manipulacji danymi i uzyskania dostępu do chronionych zasobów.
Rekomendacja
Zaleca się aktualizację aplikacji AcerConnect OTA do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa, aby zidentyfikować i zabezpieczyć inne potencjalne luki.
Oryginalny opis (angielski, źródło NVD)
Fixed AES-128-CBC keys inside the AcerConnect OTA application let attackers forge authorization credentials for arbitrary IMEI numbers. This allows unauthorized actors to list catalog items and extract protected binaries from pre-signed cloud links.

