← voltar
CVE-2025-48633

CVE-2025-48633

CVSS 5.5 MEDIUMEPSS 0.2%● KEV
Vexday Risk Score
43Atenção
Decisão SSVC (CISA)
Attend
PoC disponível → acompanhar de perto
CVSS 5.5EPSS 0.2%KEV simPoC Nuclei Metasploit Patch
Ciclo de vida
02 dez 2025Exploração ativa (CISA KEV)
08 dez 2025Publicada no NVD
Recomendação: Planejar correção próxima — já existe PoC pública.
Em resumo

Uma falha no Gerenciador de Política de Dispositivo do Android permite que alguém adicione uma conta de Device Owner após a configuração inicial do aparelho, contornando as verificações de segurança normais. Isso pode permitir que um invasor ganhe controle administrativo do dispositivo sem precisar de permissões especiais ou aprovação do usuário.

Detalhe técnico

O CVE-2025-48633 explora um erro de lógica em hasAccountsOnAnyUser() no DevicePolicyManagerService.java que permite o provisionamento de Device Owner após a configuração inicial. O vetor de ataque é local e não requer privilégios adicionais ou interação do usuário. A exploração bem-sucedida resulta em escalação de privilégio para o nível Device Owner, concedendo controle administrativo total.

Resumo gerado e traduzido por IA a partir da descrição oficial.
In hasAccountsOnAnyUser of DevicePolicyManagerService.java, there is a possible way to add a Device Owner after provisioning due to a logic error in the code. This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is not needed for exploitation.
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Produtos afetados
Google · Android