CVE-2023-35674
CVE-2023-35674
Vexday Risk Score
71Prioridad alta
Decisión SSVC (CISA)
Act
Explotación + impacto → acción inmediata
CVSS 8.8EPSS 2.2%KEV simPoC públicaPatch —
Ciclo de vida
11 sep 2023PoC pública
11 sep 2023Publicada en NVD
13 sep 2023Explotación activa (CISA KEV)
Recomendación: Corregir cuanto antes — hay explotación activa confirmada.
En resumen
Una falla en WindowState de Android permite que una aplicación lance actividades en segundo plano sin restricciones adecuadas, potencialmente ganando privilegios no autorizados en el dispositivo. No requiere interacción del usuario.
Detalle técnico
Un error lógico en el método onCreate de la clase WindowState.java permite el lanzamiento de actividades en background sin aplicar restricciones previstas, facilitando escalación de privilegios local. La vulnerabilidad no requiere privilegios de ejecución adicionales y es explorable sin interacción del usuario.
Resumen generado y traducido por IA a partir de la descripción oficial.
In onCreate of WindowState.java, there is a possible way to launch a background activity due to a logic error in the code. This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is not needed for exploitation.
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Productos afectados
Google · AndroidPoCs públicas encontradas — 2
githubgithub.com/SpiralBL0CK/Guide-and-theoretical-code-for-CVE-2023-35674★ 2githubgithub.com/Thampakon/CVE-2023-35674★ 0⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →