Vulnerabilidad en el dispositivo Android ASUS ZenFone 3 Max (CVE-2018-14992)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
28/12/2018
Última modificación:
24/08/2020
Descripción
El dispositivo Android ASUS ZenFone 3 Max con una huella digital de asus/US_Phone/ASUS_X008_1:7.0/NRD90M/US_Phone-14.14.1711.92-20171208:user/release-keys contiene una app de plataforma preinstalada de nombre com.asus.dm (versionCode=1510500200, versionName=1.5.0.40_171122) que tiene una interfaz expuesta en un servicio exportado llamado com.asus.dm.installer.DMInstallerService que permite que cualquier app ubicada en el dispositivo emplee sus capacidades para descargar una app arbitraria por Internet y la instale. Cualquier app del dispositivo puede enviar un intent con datos específicamente embebidos que provocará que la app com.asus.dm descargue e instale programáticamente la app. Para que la app sea descargada e instalada, deben proporcionarse ciertos datos: URL de descarga, nombre del paquete, nombre de la versión del archivo AndroidManifest.xml de la app y el hash MD5 de la app. Además, cualquier app instalada mediante este método también puede desinstalarse programáticamente mediante el mismo componente sin proteger llamado com.asus.dm.installer.DMInstallerService.
Impacto
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
2.10
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:asus:zenfone_3_max_firmware:1.5.0.40:*:*:*:*:*:*:* | ||
| cpe:2.3:h:asus:zenfone_3_max:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página