CVE-2012-6636
50Vexday Risk Score
Corrija em breve. Ela tem exploit funcional público.
ssvc Attendepss 41%
da publicação à arma0 dias
Publicada no NVD3 de mar.
1ª PoC21 de dez.
metasploit21 de dez.
probabilidade de exploração
41%top 1% das CVEs
exploração observada
nãonenhuma fonte reporta
3 exploit(s) público(s)
The Android API before 17 does not properly restrict the WebView.addJavascriptInterface method, which allows remote attackers to execute arbitrary methods of Java objects by using the Java Reflection API within crafted JavaScript code that is loaded into the WebView component in an application targeted to API level 16 or earlier, a related issue to CVE-2013-4710.
Produtos afetados
n/a · n/aPoCs públicas encontradas — 3
githubgithub.com/xckevin/AndroidWebviewInjectDemo★ 1githubgithub.com/Snip3R69/CVE-2013-4710-WebView-RCE-Vulnerability★ 1exploitdbwww.exploit-db.com/exploits/41675não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Referências
http://50.56.33.56/blog/?p=314http://developer.android.com/reference/android/os/Build.VERSION_CODES.html#JELLY_BEAN_MR1http://developer.android.com/reference/android/webkit/WebView.html#addJavascriptInterface%28java.lang.Object%2C%20java.lang.String%29http://jvn.jp/en/jp/JVN62161191/index.htmlhttp://openwall.com/lists/oss-security/2014/02/07/9https://support.lenovo.com/us/en/product_security/len_6421http://www.cs.utexas.edu/~shmat/shmat_ndss14nofrak.pdfhttp://www.internetsociety.org/ndss2014/programme#session3