Vulnerabilidad en una conexión Bluetooth en el archivo AdapterService.java en la función setPhonebookAccessPermission en Android (CVE-2020-0023)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
13/02/2020
Última modificación:
21/07/2021
Descripción
En la función setPhonebookAccessPermission del archivo AdapterService.java, se presenta una posible divulgación de contactos de usuario por medio del Bluetooth debido a una falta de comprobación de permiso. Esto podría conllevar a una divulgación local de información si una aplicación maliciosa habilita los contactos por medio de una conexión Bluetooth, con los privilegios de ejecución User necesarios. No es necesaria una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10, ID de Android: A-145130871
Impacto
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.70
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:o:google:android:10.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página