Vulnerabilidad en el dispositivo Android Leagoo Z5C (CVE-2018-14987)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
28/12/2018
Última modificación:
24/08/2020
Descripción
El dispositivo Android MXQ TV Box 4.4.2 con una huella digital de MBX/m201_N/m201_N:4.4.2/KOT49H/20160106:user/test-keys contiene el framework de Android con un nombre de paquete android (versionCode=19, versionName=4.4.2-20170213) que registra dinámicamente un componente de app de recepción de transmisiones llamado com.android.server.MasterClearReceiver, en lugar de registrarlo estáticamente en el archivo AndroidManifest.xml del paquete core de Android, tal y como se realiza en el código de Android Open Source Project (AOSP) para Android 4.4.2. El registro dinámico del componente de app de recepción de transmisiones MasterClearReceiver no está protegido con el permiso android.permission.MASTER_CLEAR durante el registro, por lo que cualquier app que esté en el dispositivo, incluso las que no tienen permisos, pueden iniciar programáticamente un reinicio de fábrica del dispositivo. Una restauración de fábrica eliminará todos los datos y aplicaciones del usuario del dispositivo. Esto resultará en la pérdida de cualquier dato que no haya sido sincronizado externamente o del que no tenga una copia de seguridad. La capacidad para realizar una restauración de fábrica no está directamente disponible para aplicaciones de terceros (las que los usuarios instalan por sí mismos, exceptuando las aplicaciones habilitadas MDM, o de gestión del dispositivo móvil), aunque puede obtenerse aprovechando un componente sin proteger de un proceso core de Android.
Impacto
Puntuación base 3.x
7.10
Gravedad 3.x
ALTA
Puntuación base 2.0
5.60
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:o:mxq_project:mxq_tv_box_firmware:4.4.2:*:*:*:*:*:*:* | ||
cpe:2.3:h:mxq_project:mxq_tv_box:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página