Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el archivo SubscriptionController.java en la función getAllSubInfoList de Android (CVE-2021-0643)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
22/10/2021
Última modificación:
21/01/2022

Descripción

En getAllSubInfoList de SubscriptionController.java, existe una posible forma de recuperar un identificador de larga duración sin los permisos correctos debido a la falta de comprobación de permisos. Esto podría conducir a la divulgación de información local con privilegios de ejecución de usuario necesarios. La interacción del usuario no es necesaria para la explotación.Product: AndroidVersiones: Android-10 Android-11 Android-12Android ID: A-183612370

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:google:android:10.0:*:*:*:*:*:*:*
cpe:2.3:o:google:android:11.0:*:*:*:*:*:*:*
cpe:2.3:o:google:android:12.0:*:*:*:*:*:*:*


Referencias a soluciones, herramientas e información