CVE-2023-35674
CVE-2023-35674
Vexday Risk Score
71Prioridade alta
Decisão SSVC (CISA)
Act
Exploração + impacto → ação imediata
CVSS 8.8EPSS 2.2%KEV simPoC públicaPatch —
Ciclo de vida
11 set 2023PoC pública
11 set 2023Publicada no NVD
13 set 2023Exploração ativa (CISA KEV)
Recomendação: Corrigir o quanto antes — há exploração ativa confirmada.
Em resumo
Uma falha no WindowState do Android permite que um aplicativo execute atividades em segundo plano sem as devidas restrições, potencialmente permitindo ganhar privilégios não autorizados no dispositivo. Não requer interação do usuário.
Detalhe técnico
Um erro lógico no método onCreate da classe WindowState.java permite o lançamento de atividades em background sem enforçar as restrições pretendidas, viabilizando escalação de privilégio local. A vulnerabilidade não requer privilégios de execução adicionais e é explorável sem interação do usuário.
Resumo gerado e traduzido por IA a partir da descrição oficial.
In onCreate of WindowState.java, there is a possible way to launch a background activity due to a logic error in the code. This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is not needed for exploitation.
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Produtos afetados
Google · AndroidPoCs públicas encontradas — 2
githubgithub.com/SpiralBL0CK/Guide-and-theoretical-code-for-CVE-2023-35674★ 2githubgithub.com/Thampakon/CVE-2023-35674★ 0⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →