PT-2024-4194 · Google · Android
Tchebb
·
Publicado
2024-03-11
·
Atualizado
2026-03-21
·
CVE-2024-0044
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões 12 e 13 do Android
Descrição
O problema está relacionado à validação inadequada de entradas na função
createSessionInternal do arquivo PackageInstallerService.java, o que poderia levar à escalada local de privilégios sem a necessidade de privilégios de execução adicionais. Não é necessária a interação do usuário para a exploração. Isso poderia permitir que um invasor obtivesse acesso ao banco de dados de qualquer aplicativo, incluindo o WhatsApp, explorando a vulnerabilidade. O número estimado de dispositivos potencialmente afetados não foi especificado, mas sabe-se que o problema afeta as versões 12 e 13 do Android.Recomendações
Para as versões 12 e 13 do Android, considere desativar a função
createSessionInternal até que uma correção esteja disponível. Restrinja o acesso ao módulo PackageInstallerService para minimizar o risco de exploração. Evite usar o comando run-as no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
Special Elements Injection
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Android