CVE-2024-43093

Опубликовано: 13 нояб. 2024

Источник: nvd

CVSS3: 7.3

EPSS Низкий

Описание

In shouldHideDocument of ExternalStorageProvider.java, there is a possible bypass of a file path filter designed to prevent access to sensitive directories due to incorrect unicode normalization. This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is needed for exploitation.

Ссылки

https://android.googlesource.com/platform/frameworks/base/+/7f83c671626f9bf993581f4598c22482d87cba10
Patch
https://source.android.com/security/bulletin/2025-03-01
Vendor Advisory
https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2024-43093
Third Party Advisory
US Government Resource

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:o:google:android:12.0:*:*:*:*:*:*:*

cpe:2.3:o:google:android:12.1:*:*:*:*:*:*:*

cpe:2.3:o:google:android:13.0:*:*:*:*:*:*:*

cpe:2.3:o:google:android:14.0:*:*:*:*:*:*:*

cpe:2.3:o:google:android:15.0:*:*:*:*:*:*:*

EPSS

Процентиль: 31%

0.00115

Низкий

7.3 High

CVSS3

Дефекты

CWE-176

Связанные уязвимости

GHSA-9g9p-59w9-vqqc

CVSS3: 7.8

github

около 1 года назад

BDU:2024-09108

CVSS3: 9.8

fstec

больше 1 года назад

Уязвимость компонента Android Framework операционной системы Android, позволяющая нарушителю повысить свои привилегии и получить несанкционированноый доступ к каталогам Android/data, Android/obb, Android/sandbox