CVE-2026-0098
HighCVSS 7.8Summary
W metodzie getCallingPackageName w pliku Shared.java istnieje możliwość obejścia ograniczeń dotyczących uruchamiania aktywności z powodu zjawiska zwanego 'confused deputy'. Może to prowadzić do lokalnego podniesienia uprawnień bez potrzeby dodatkowych uprawnień wykonawczych.
Risk Assessment
Organizacja może być narażona na lokalne eskalacje uprawnień, co może prowadzić do nieautoryzowanego dostępu do zasobów systemowych. Brak interakcji użytkownika sprawia, że atak jest łatwiejszy do przeprowadzenia.
Recommendation
Zaleca się przegląd i wzmocnienie mechanizmów kontroli dostępu w aplikacjach, aby zapobiec możliwości obejścia ograniczeń uruchamiania aktywności. Należy również monitorować i aktualizować oprogramowanie w celu eliminacji tej podatności.
Original NVD description (English source)
In getCallingPackageName of Shared.java, there is a possible way to bypass activity start restrictions due to a confused deputy. This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is not needed for exploitation.

