CVE-2021-39663

Versões do Android: Android-10

Na função openFileAndEnforcePathPermissionsHelper do arquivo MediaProvider.java, existe uma possível contornamento da verificação de permissões devido a um “confused deputy”. Isso pode levar à escalada de privilégios local, sendo necessários privilégios de execução de usuário. Não é necessária a interação do usuário para a exploração.

Para a versão Android-10, considere restringir o acesso ao MediaProvider até que um patch esteja disponível. Como solução temporária, revise e aplique permissões de caminho para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.