PT-2021-13430 · Google · Android
Publicado
2021-12-15
·
Atualizado
2022-07-12
·
CVE-2021-1025
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Android anteriores à versão corrigida
Descrição
Existe uma vulnerabilidade de divulgação de informações locais devido à falta de uma verificação de permissão no arquivo WallpaperManagerService.java. Isso poderia permitir que um invasor determinasse se um aplicativo está instalado sem consultar as permissões. Não são necessários privilégios de execução adicionais, e a interação do usuário não é exigida para a exploração.
Recomendações
Para versões do Android anteriores à versão corrigida, considere restringir o acesso ao WallpaperManagerService.java até que um patch esteja disponível. Como solução alternativa temporária, evite usar a função hasNamedWallpaper no WallpaperManagerService.java para minimizar o risco de exploração.
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Android