PT-2025-43907 · Google · Google Messages For Wear Os
Gabriele Digregorio
·
Publicado
2025-10-27
·
Atualizado
2025-12-05
·
CVE-2025-12080
CVSS v4.0
6.9
Média
| Vetor | AV:A/AC:L/AT:N/PR:N/UI:P/VC:N/VI:H/VA:N/SC:N/SI:L/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
Google Messages para Wear OS (versões afetadas não especificadas)
Descrição
Existe uma falha no Google Messages para Wear OS na qual o tratamento de intents
ACTION SENDTO utilizando os esquemas de Uniform Resource Identifier (URI) sms:, smsto:, mms: e mmsto: está configurado de forma inadequada. Isso permite que um atacante que consiga invocar um intent do Android envie mensagens em nome de um usuário para qualquer destinatário, sem exigir interação do usuário ou permissões. O problema possibilita a transmissão silenciosa e não autorizada de mensagens a partir de um dispositivo Wear OS comprometido. A vulnerabilidade foi descoberta em março de 2025 e corrigida em maio de 2025.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Insufficient Verification of Data Authenticity
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Google Messages For Wear Os