CWE-689СоставнойЧерновик
Состояние гонки при установке разрешений во время копирования ресурса
Программный продукт, копируя или клонируя ресурс, не устанавливает разрешения или права доступа к ресурсу до завершения копирования, оставляя ресурс открытым для других сфер в ходе операции.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
Связанные уязвимости
CVE-2022-28768Zoom Client for Meetings Installer для macOS (Standard и для IT Admin) до версии 5.12.6 содержит уязвимость локального повышения привилегий. Локальный пользователь с низкими привилегиями может воспользоваться этой уязвимостью во время процесса установки, чтобы повысить свои привилегии до root.
CVE-2025-0087В onCreate класса UninstallerActivity.java существует возможный способ удаления приложения другого пользователя из-за отсутствия проверки разрешений. Это может привести к локальному повышению привилегий без необходимости дополнительных прав выполнения. Для эксплуатации не требуется взаимодействие с пользователем. Только профиль-родитель может удалить приложение, находящееся в профилях-потомках. Исправление: EXEMPT security bug fix Bug: 333681693 Test: atest CtsPackageInstallerCUJMultiUsersTestCases [1].
Источники:
- [1] https://android.googlesource.com/platform/frameworks/base/+/4c269d7b0ec71951f773844b2a325e556f982a9c
- [2] https://source.android.com/security/bulletin/2025-05-01