CVE-2025-32347

CVE

Высокий

В onStart класса BiometricEnrollIntroduction.java обнаружена возможная уязвимость, позволяющая определить местоположение устройства из-за н…

CVSS

7.8

Высокий

EPSS

0.00

Опубликовано

2025-01-01

Обновлено

2025-01-01

Описание

В onStart класса BiometricEnrollIntroduction.java обнаружена возможная уязвимость, позволяющая определить местоположение устройства из-за небезопасного PendingIntent. Это может привести к локальному повышению привилегий без необходимости дополнительных прав. Для эксплуатации требуется взаимодействие с пользователем [1]. Исправление включает удаление extras из PendingIntent для внешних пакетов во время регистрации [2]. Источники: - [1] https://android.googlesource.com/platform/packages/apps/Settings/+/25cfacbe5ac2423b8fe1375e0593ef69e98b8d09 - [2] https://source.android.com/security/bulletin/2025-09-01

Теги · CWE

CWE-926

Затронутые продукты

Android

Вектор CVSS

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Хронология

2025-01-01

Опубликована

2025-01-01

Обновлена

Разбор CVSS 3.1

Вектор атаки

AV: L

Локальная (L)

Сложность атаки

AC: L

Низкая (L)

Требуемые привилегии

PR: L

Низкие (L)

Взаимодействие с пользователем

UI: N

Отсутствует (N)

Область воздействия

S: U

Неизменная (U)

Воздействие на конфиденциальность

C: H

Высокое (H)

Воздействие на целостность

I: H

Высокое (H)

Воздействие на доступность

A: H

Высокое (H)

Индикаторы эксплуатации

EPSS

0.001 · p0

Известна эксплуатация (KEV)

Нет

Проверки Сканер-ВС

Проверок Сканер-ВС для этой уязвимости в базе пока нет.

Затронутые продукты

Google

Android

Продукт	Вендор	Статус
android	*	Отслеживается

Источники данных

CVE

Связанные уязвимости

BDU:2025-11577