← voltar
CVE-2023-21237

CVE-2023-21237

CVSS 6.2 MEDIUMEPSS 0.3%● KEVCWE-200
Vexday Risk Score
43Atenção
Decisão SSVC (CISA)
Attend
PoC disponível → acompanhar de perto
CVSS 6.2EPSS 0.3%KEV simPoC Nuclei Metasploit Patch
Ciclo de vida
28 jun 2023Publicada no NVD
05 mar 2024Exploração ativa (CISA KEV)
Recomendação: Planejar correção próxima — já existe PoC pública.
Em resumo

Uma falha no sistema de notificações do Android permite que um aplicativo oculte notificações de serviços em primeiro plano através de elementos de UI enganosos, potencialmente escondendo quais serviços estão sendo executados no seu dispositivo. É um problema local que não requer permissões especiais ou interação do usuário.

Detalhe técnico

Vulnerabilidade CWE-200 de divulgação de informações em NotificationContentInflater.applyRemoteView() permite que atacantes locais obscureçam notificações de serviço em primeiro plano mediante manipulação de UI enganosa, possibilitando supressão não autorizada de conscientização de execução de serviços sem privilégios elevados ou interação do usuário.

Resumo gerado e traduzido por IA a partir da descrição oficial.
In applyRemoteView of NotificationContentInflater.java, there is a possible way to hide foreground service notification due to misleading or insufficient UI. This could lead to local information disclosure with no additional execution privileges needed. User interaction is not needed for exploitation.Product: AndroidVersions: Android-13Android ID: A-251586912
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Produtos afetados
n/a · Android