Vulnerabilities ›

CVE-2026-49192

Medium

CWE-639 — Weakness Type

                    Published: Jun 4, 2026                      ·  Modified: Jun 7, 2026                      ·  Source: NVD                

CVSS v3

5.4

🔗 NVD Official

📄 Description (English)

The summary service endpoint suffers from an IDOR vulnerability where it fails to verify user ownership of hardware serial numbers, exposing device data to scraping.

🤖 AI Executive Summary

A summary service endpoint contains an Insecure Direct Object Reference (IDOR) vulnerability that fails to verify user ownership of hardware serial numbers. This allows attackers to scrape and access device data belonging to other users without proper authorization.

📄 Description (Arabic)

تعاني نقطة نهاية خدمة الملخص من ثغرة IDOR حيث تفشل في التحقق من ملكية المستخدم لأرقام المسلسل للأجهزة. يمكن للمهاجمين استخدام هذه الثغرة للوصول إلى بيانات الأجهزة الحساسة والتنقيب عنها بشكل غير مصرح. هذا يؤدي إلى كشف معلومات المستخدمين والأجهزة المرتبطة بهم.

🤖 ملخص تنفيذي (AI)

خدمة ملخص تحتوي على ثغرة IDOR حيث لا تتحقق من ملكية المستخدم لأرقام المسلسل للأجهزة. يمكن للمهاجمين الوصول إلى بيانات الأجهزة الخاصة بمستخدمين آخرين دون تفويض مناسب.

🤖 AI Intelligence Analysis Analyzed: Jun 5, 2026 01:39

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

government telecom energy healthcare

🎯 MITRE ATT&CK Techniques

T1078.001 T1526 T1087

⚖️ Saudi Risk Score (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Implement proper authorization checks to verify user ownership of hardware serial numbers before returning device data. Add access control validation at the endpoint level, implement role-based access control (RBAC), conduct security code review, and deploy Web Application Firewall (WAF) rules to detect IDOR patterns.

🔧 خطوات المعالجة (العربية)

تطبيق فحوصات التفويض المناسبة للتحقق من ملكية المستخدم لأرقام المسلسل قبل إرجاع بيانات الجهاز. إضافة التحقق من التحكم في الوصول على مستوى نقطة النهاية، تطبيق التحكم في الوصول القائم على الأدوار، إجراء مراجعة أمان الكود، ونشر قواعد جدار الحماية لكشف أنماط IDOR.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.9.1.1 A.9.2.1

🔵 SAMA CSF

AC-3 AC-4

🟡 ISO 27001:2022

A.9.1.1 A.9.2.5

🔗 References & Sources 1

🔗

https://community.acer.com/en/kb/articles/19707

8fc372e3-d9c5-46e4-9410-38469745c639

Mitigation Vendor Advisory

📦 Affected Products / CPE 1 entries

acer:connect_m6e_5g_firmware

📊 CVSS Score

5.4

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 Quick Facts

Severity Medium

CVSS Score5.4

CWECWE-639

EPSS0.04%

Exploit No

Patch ✗ No

Published 2026-06-04

Source Feed nvd

🇸🇦 Saudi Risk Score

6.0

/ 10.0 — Saudi Risk

Priority: MEDIUM

🏷️ Tags

CWE-639

🏢 Vendor Advisories

🔗 https://community.acer.com/en/kb/articles/19707

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-49192

Introduce Yourself

Sign In Required