CVE-2026-0068
WysokieCVSS 7.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 — wyżej niż 2% wszystkich znanych CVE
Streszczenie
W metodzie createSessionInternal w PackageInstallerService.java istnieje możliwość usunięcia aplikacji DPC z zarządzanego urządzenia bez zgody DO z powodu desynchronizacji z trwałością. Może to prowadzić do lokalnej eskalacji uprawnień, jeśli użytkownik zainstaluje złośliwą aplikację bez potrzeby dodatkowych uprawnień wykonawczych.
Ocena ryzyka
Organizacja może być narażona na lokalną eskalację uprawnień, co może prowadzić do nieautoryzowanego dostępu do zasobów systemowych. Wymagana jest interakcja użytkownika do wykorzystania tej podatności.
Rekomendacja
Zaleca się monitorowanie instalacji aplikacji oraz wdrożenie dodatkowych zabezpieczeń, aby ograniczyć możliwość instalacji złośliwego oprogramowania. Należy również rozważyć aktualizację systemu, aby załatać tę podatność.
Oryginalny opis (angielski, źródło NVD)
In createSessionInternal of PackageInstallerService.java, there is a possible method to remove a DPC app from a managed device without DO consent due to desync from persistence. This could lead to local escalation of privilege if a user can install a malicious app with no additional execution privileges needed. User interaction is needed for exploitation.

