Katalog CVE

CVE-2026-0068

WysokieCVSS 7.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.12%

Percentyl 2 — wyżej niż 2% wszystkich znanych CVE

Streszczenie

W metodzie createSessionInternal w PackageInstallerService.java istnieje możliwość usunięcia aplikacji DPC z zarządzanego urządzenia bez zgody DO z powodu desynchronizacji z trwałością. Może to prowadzić do lokalnej eskalacji uprawnień, jeśli użytkownik zainstaluje złośliwą aplikację bez potrzeby dodatkowych uprawnień wykonawczych.

Ocena ryzyka

Organizacja może być narażona na lokalną eskalację uprawnień, co może prowadzić do nieautoryzowanego dostępu do zasobów systemowych. Wymagana jest interakcja użytkownika do wykorzystania tej podatności.

Rekomendacja

Zaleca się monitorowanie instalacji aplikacji oraz wdrożenie dodatkowych zabezpieczeń, aby ograniczyć możliwość instalacji złośliwego oprogramowania. Należy również rozważyć aktualizację systemu, aby załatać tę podatność.

Oryginalny opis (angielski, źródło NVD)

In createSessionInternal of PackageInstallerService.java, there is a possible method to remove a DPC app from a managed device without DO consent due to desync from persistence. This could lead to local escalation of privilege if a user can install a malicious app with no additional execution privileges needed. User interaction is needed for exploitation.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS