Acer

Connect M6e 5g Firmware

26 Schwachstellen gefunden.

Hinweis: Diese Liste kann unvollständig sein. Daten werden ohne Gewähr im Ursprungsformat bereitgestellt.
  • EPSS 0.19%
  • Veröffentlicht 04.06.2026 09:34:34
  • Zuletzt bearbeitet 08.06.2026 12:57:32

Fixed AES-128-CBC keys inside the AcerConnect OTA application let attackers forge authorization credentials for arbitrary IMEI numbers. This allows unauthorized actors to list catalog items and extract protected binaries from pre-signed cloud links.

  • EPSS 0.24%
  • Veröffentlicht 04.06.2026 09:29:57
  • Zuletzt bearbeitet 08.06.2026 12:58:13

The registration path /v1/account/register provides no bot mitigation mechanisms, allowing malicious automated systems to flood the database.

  • EPSS 0.23%
  • Veröffentlicht 04.06.2026 09:26:00
  • Zuletzt bearbeitet 08.06.2026 12:58:22

The web administration panel binds broadly to the public IPv6 address space on port [::]:8080 without default firewall limits, making internal API endpoints reachable over the WAN.

  • EPSS 0.17%
  • Veröffentlicht 04.06.2026 09:20:37
  • Zuletzt bearbeitet 08.06.2026 12:56:12

The /v1/Plan service relies entirely on a shared global API token for full administrative management, allowing arbitrary creation of zero-cost network access plans.

  • EPSS 0.23%
  • Veröffentlicht 04.06.2026 07:39:21
  • Zuletzt bearbeitet 04.06.2026 19:10:08

The account validation endpoint /v1/User/validate returns comprehensive user profile data sheets, which can be crawled by iterating predictable identification strings.

  • EPSS 0.17%
  • Veröffentlicht 04.06.2026 07:32:55
  • Zuletzt bearbeitet 04.06.2026 19:10:20

Weak validation logic within device dissociation API routines allows a remote entity to forcefully unbind unrelated user endpoints, causing severe denial of service.

  • EPSS 0.29%
  • Veröffentlicht 04.06.2026 07:28:12
  • Zuletzt bearbeitet 04.06.2026 19:13:04

Leftover engineering diagnostics and factory-level diagnostic software remain exposed on retail builds, giving malicious apps write privileges to internal NVRAM registers.

  • EPSS 0.25%
  • Veröffentlicht 04.06.2026 07:22:44
  • Zuletzt bearbeitet 04.06.2026 19:11:10

The device encrypts data using AES-CBC with static zero-filled Initialization Vectors (IVs), making it susceptible to replay attacks and known-plaintext decryption.

  • EPSS 0.1%
  • Veröffentlicht 04.06.2026 07:17:54
  • Zuletzt bearbeitet 04.06.2026 19:14:14

Broadcast events allow malicious software to rewrite the device's default Mobile Device Management (MDM) endpoint address, shifting administrative ownership to an external attacker.

  • EPSS 0.14%
  • Veröffentlicht 04.06.2026 07:09:45
  • Zuletzt bearbeitet 04.06.2026 19:14:45

High-risk TrustAllCerts routines disable standard TLS certificate validation. Combined with hard-coded DES symmetric encryption keys, a Man-in-the-Middle (MITM) actor could decrypt network traffic.