Vulnerabilidad en CVE-2018-15001 (CVE-2018-15001)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-532
Exposición de información a través de archivos de log
Fecha de publicación:
28/12/2018
Última modificación:
07/02/2019
Descripción
El dispositivo Android Vivo V7 con una huella digital de vivo/1718/1718:7.1.2/N2G47H/compil11021857:user/release-keys contiene una app de plataforma con un nombre de paquete com.vivo.bsptest (versionCode=1, versionName=1.0) que contiene un componente de app de actividad exportado llamado com.vivo.bsptest.BSPTestActivity que permite que cualquier app ubicada en el dispositivo inicie la escritura de los registros logcat, bluetooth y kernel en el almacenamiento externo. Cuando los registros están habilitados, hay una notificación en la barra de estado, por lo que no es completamente transparente para el usuario. El usuario puede cancelar el registro, pero puede rehabilitarse, ya que la app de nombre com.vivo.bsptest no puede deshabilitarse. La escritura de estos registros puede ser iniciada por una app ubicada en el dispositivo, aunque el permiso READ_EXTERNAL_STORAGE es necesario para que una app acceda a los archivos de registro.
Impacto
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
2.10
Gravedad 2.0
BAJA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:o:vivo:v7_firmware:1.0:*:*:*:*:*:*:* | ||
cpe:2.3:h:vivo:v7:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página