Vulnerabilidad en el dispositivo Android Leagoo Z5C (CVE-2018-14984)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-200 Revelación de información

Fecha de publicación:

28/12/2018

Última modificación:

14/02/2019

Descripción

El dispositivo Android Leagoo Z5C con una huella digital sp7731c_1h10_32v4_bird:6.0/MRA58K/android.20170629.214736:user/release-keys contiene una aplicación preinstalada, cuyo paquete se denomina com.android.messaging (versionCode=1000110, versionName=1.0.001, (android.20170630.092853-0)) con un componente de app de recepción de transmisiones exportada llamado com.android.messaging.trackersender.TrackerSender. Cualquier app que también esté en el dispositivo, incluso aunque no tenga permisos, puede enviar un intent de transmisión con ciertos datos embebidos al componente de la aplicación de recepción de transmisiones exportada que resultará en el envío programático de un mensaje de texto en el que el número de teléfono y el cuerpo del mensaje de texto están controlados por el atacante.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:L/Au:N/C:N/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.00 MEDIA
Vector: AV:N/AC:L/Au:N/C:N/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno