PT-2022-11081 · Google · Android
Publicado
2022-04-01
·
Atualizado
2022-07-12
·
CVE-2021-39808
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Android de Android-10 a Android-12
Descrição
O problema está relacionado à validação inadequada de entradas na função
createNotificationChannelGroup do arquivo PreferencesHelper.java. Isso poderia permitir que um serviço fosse executado em primeiro plano sem notificar o usuário, levando potencialmente à escalada de privilégios local. Não são necessários privilégios de execução adicionais, e a interação do usuário não é exigida para a exploração.Recomendações
Para as versões do Android de Android-10 a Android-12, considere restringir o uso da função
createNotificationChannelGroup em PreferencesHelper.java até que uma correção adequada seja aplicada para impedir que serviços sejam executados em primeiro plano sem notificação ao usuário.Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Android