CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-0098

HighCVSS 7.8
Published: Updated: Translated: NVD NIST

Summary

W metodzie getCallingPackageName w pliku Shared.java istnieje możliwość obejścia ograniczeń dotyczących uruchamiania aktywności z powodu zjawiska zwanego 'confused deputy'. Może to prowadzić do lokalnego podniesienia uprawnień bez potrzeby dodatkowych uprawnień wykonawczych.

Risk Assessment

Organizacja może być narażona na lokalne eskalacje uprawnień, co może prowadzić do nieautoryzowanego dostępu do zasobów systemowych. Brak interakcji użytkownika sprawia, że atak jest łatwiejszy do przeprowadzenia.

Recommendation

Zaleca się przegląd i wzmocnienie mechanizmów kontroli dostępu w aplikacjach, aby zapobiec możliwości obejścia ograniczeń uruchamiania aktywności. Należy również monitorować i aktualizować oprogramowanie w celu eliminacji tej podatności.

Original NVD description (English source)

In getCallingPackageName of Shared.java, there is a possible way to bypass activity start restrictions due to a confused deputy. This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is not needed for exploitation.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS