PT-2021-7244 · Mce Systems · Mce Systems
Publicado
2021-10-01
·
Atualizado
2021-10-01
·
CVE-2021-42601
CVSS v2.0
7.2
Alta
| Vetor | AV:L/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
MCE Systems (versões afetadas não especificadas)
Descrição
O problema está relacionado ao parâmetro categoryId no componente WebView do sistema de gerenciamento do ciclo de vida de dispositivos móveis da MCE Systems. Envolve erros no processamento de links antes do acesso a um arquivo e na desserialização da estrutura PendingDynamicLinkData a partir de um Intent Extra de matriz de bytes com a chave com.google.firebase.dynamiclinks.DYNAMIC LINK DATA. A exploração desse problema poderia permitir que um invasor elevasse seus privilégios injetando código malicioso.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Deserialization of Untrusted Data
Link Following
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Mce Systems