CVE-2026-0098
WysokieCVSS 7.8Streszczenie
W metodzie getCallingPackageName w pliku Shared.java istnieje możliwość obejścia ograniczeń dotyczących uruchamiania aktywności z powodu zjawiska zwanego 'confused deputy'. Może to prowadzić do lokalnego podniesienia uprawnień bez potrzeby dodatkowych uprawnień wykonawczych.
Ocena ryzyka
Organizacja może być narażona na lokalne eskalacje uprawnień, co może prowadzić do nieautoryzowanego dostępu do zasobów systemowych. Brak interakcji użytkownika sprawia, że atak jest łatwiejszy do przeprowadzenia.
Rekomendacja
Zaleca się przegląd i wzmocnienie mechanizmów kontroli dostępu w aplikacjach, aby zapobiec możliwości obejścia ograniczeń uruchamiania aktywności. Należy również monitorować i aktualizować oprogramowanie w celu eliminacji tej podatności.
Oryginalny opis (angielski, źródło NVD)
In getCallingPackageName of Shared.java, there is a possible way to bypass activity start restrictions due to a confused deputy. This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is not needed for exploitation.

