Vulnerabilidad en la aplicación SecEmailComposer/EmailComposer en Samsung S6 Edge (CVE-2015-7889)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-275
Errores con los permisos
Fecha de publicación:
28/12/2017
Última modificación:
20/04/2025
Descripción
La aplicación SecEmailComposer/EmailComposer en Samsung S6 Edge, en versiones anteriores a la October 2015 MR, utiliza permisos débiles para la acción de servicio com.samsung.android.email.intent.action.QUICK_REPLY_BACKGROUND. Esto puede permitir que atacantes remotos que conozcan la dirección de email local obtengan información sensible mediante una aplicación manipulada que envíe un intent manipulado.
Impacto
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:google:android:*:*:*:*:*:*:*:* | 5.1.1 (incluyendo) | |
| cpe:2.3:h:samsung:galaxy_s6_edge:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.com/files/134105/Samsung-SecEmailComposer-QUICK_REPLY_BACKGROUND-Permission-Weakness.html
- http://www.securityfocus.com/bid/77339
- https://bugs.chromium.org/p/project-zero/issues/detail?id=490&redir=1
- https://www.exploit-db.com/exploits/38558/
- http://packetstormsecurity.com/files/134105/Samsung-SecEmailComposer-QUICK_REPLY_BACKGROUND-Permission-Weakness.html
- http://www.securityfocus.com/bid/77339
- https://bugs.chromium.org/p/project-zero/issues/detail?id=490&redir=1
- https://www.exploit-db.com/exploits/38558/