CRITICAL🇬🇧 English

CVE-2024-1608

Privilege escalation w OPPO Usercenter Credit SDK — wyciek danych aplikacji

CVSS 9.1v3.1pub. 2024-02-20upd. 2025-04-02

Podatność w OPPO Usercenter Credit SDK umożliwia eskalację uprawnień (privilege escalation) z powodu zbyt luźnej weryfikacji uprawnień. Może prowadzić do wycieku wewnętrznych informacji aplikacji bez jakiejkolwiek interakcji użytkownika.

Pokaż oryginał (EN)

In OPPO Usercenter Credit SDK, there's a possible escalation of privilege due to loose permission check, This could lead to application internal information leak w/o user interaction.

🤖 Analiza AI
Jak działa

Błąd wynika z nieprawidłowej weryfikacji uprawnień (CWE-280 — Improper Handling of Insufficient Permissions or Privileges). Mechanizm kontroli uprawnień w SDK jest na tyle słaby, że atakujący lub złośliwa aplikacja może uzyskać dostęp do zasobów i danych, które powinny być chronione. Podatność jest zdalnie wykorzystywalna (wektor sieciowy), nie wymaga interakcji użytkownika, choć wymaga uprawnień na poziomie wysokim (PR:H). Zakres ataku wykracza poza komponent, w którym występuje podatność (Scope: Changed).

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do wewnętrznych informacji aplikacji, co skutkuje naruszeniem poufności, integralności i dostępności danych. Podatność może prowadzić do ujawnienia wrażliwych danych przechowywanych przez SDK bez wiedzy i zgody użytkownika.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi na stronie OPPO Security (https://security.oppo.com/en/noticeDetail?notice_only_key=NOTICE-1759867611954552832). Zaleca się aktualizację SDK do wersji wskazanej przez producenta jako bezpieczna.

Kogo dotyczy

OPPO Usercenter Credit Software Development Kit — konkretne wersje wskazane w referencjach producenta (strona OPPO Security Notice).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
  • Oppo Usercenter Credit Software Development Kit

    APP
    Oppo
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2021-23247CRITICAL9.8ten sam vendor

A command injection vulerability found in quick game engine allows arbitrary remote code in quick app. Allows ...

CVE-2020-11829CRITICAL9.8ten sam vendor

Dynamic loading of services in the backup and restore SDK leads to elevated privileges, affected product is co...

CVE-2020-11830CRITICAL9.8ten sam vendor

QualityProtect has a vulnerability to execute arbitrary system commands, affected product is com.oppo.qualityp...

CVE-2020-11831CRITICAL9.8ten sam vendor

OvoiceManager has system permission to write vulnerability reports for arbitrary files, affected product is co...

CVE-2026-22070HIGH7.1ten sam vendor

ColorOS Assistant has an unauthenticated start-download channel, leading to file path traversal.