Vulnerabilidad en dispositivos Android Plum Compass con una huella digital de compilación (CVE-2018-14989)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
25/04/2019
Última modificación:
02/05/2019
Descripción
El dispositivo Android Plum Compass con una huella digital de compilación de PLUM/c179_hwf_221/c179_hwf_221:6.0/MRA58K/W16.51.5-22:user/release-keys, contiene una aplicación de plataforma preinstalada con un nombre de paquete de com.android.settings (versionCode=23, versionName=6.0-eng.root.20161223.224055) que contiene un componente de aplicación de receptor de difusión exportado que permite que cualquier aplicación dentro del dispositivo realice un restablecimiento de fábrica programadamente. Además, la aplicación que inicia el restablecimiento de fábrica no requiere ningún permiso. Un restablecimiento de mecanismo suprimirá todos los datos de usuario y aplicaciones del dispositivo. Esto conllevará a la pérdida de cualquier dato que no se presentaa sido respaldado o sincronizado externamente. La capacidad para realizar un restablecimiento de el mecanismo no está disponible directamente para aplicaciones de terceros (aquellas que el usuario instala solo con la excepción de las aplicaciones de Mobile Device Management (MDM) habilitadas), aunque esta capacidad se puede conseguir al explotar un componente de aplicación no protegido de Una aplicación de plataforma preinstalada.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
9.40
Gravedad 2.0
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:o:plum-mobile:compass_firmware:-:*:*:*:*:*:*:* | ||
cpe:2.3:h:plum-mobile:compass:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página