CVE-2024-43093

2024. november 18. 14:19

Android Framework Privilege Escalation sebezhetősége
Angol cím: Android Framework Privilege Escalation Vulnerability

Publikálás dátuma: 2024.11.18.
Utolsó módosítás dátuma: 2024.11.18.

A sérülékenység aktívan kihasználtként volt megjelölve az alábbi dátumtartományra vonatkozóan: 2024.11.07. – 2024.11.28.

Leírás

Eredeti nyelven: The product does not properly handle when an input contains Unicode encoding.

Leírás forrása: CWE-176 Leírás utolsó módosítása: 2024.02.29.

Elemzés leírás

Eredeti nyelven: In shouldHideDocument of ExternalStorageProvider.java, there is a possible bypass of a file path filter designed to prevent access to sensitive directories due to incorrect unicode normalization. This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is needed for exploitation.

Elemzés leírás forrása: CVE-2024-43093 Elemzés leírás utolsó módosítása: 2024.11.14.

Hatás

CVSS3.1 Súlyosság és Metrika

Base score: 7.8 (Magas)
Vector: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Impact Score: 5.9
Exploitability Score: 1.8

Attack Vector (AV): Local
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): Required
Scope (S): Unchanged
Confidentiality Impact (C): High
Integrity Impact (I): High
Availability Impact (A): High

Következmények

Loss of integrity (Sértetlenség elvesztése)

Hivatkozások

Android frameworks
Android

Sérülékeny szoftverek

cpe:2.3:o:google:android:12.0:*:*:*:*:*:*:*
cpe:2.3:o:google:android:13.0:*:*:*:*:*:*:*
cpe:2.3:o:google:android:14.0:*:*:*:*:*:*:*
cpe:2.3:o:google:android:15.0:*:*:*:*:*:*:*