Podatność w OPPO Usercenter Credit SDK umożliwia eskalację uprawnień (privilege escalation) z powodu zbyt luźnej weryfikacji uprawnień. Może prowadzić do wycieku wewnętrznych informacji aplikacji bez jakiejkolwiek interakcji użytkownika.
▸ Pokaż oryginał (EN)
In OPPO Usercenter Credit SDK, there's a possible escalation of privilege due to loose permission check, This could lead to application internal information leak w/o user interaction.
Błąd wynika z nieprawidłowej weryfikacji uprawnień (CWE-280 — Improper Handling of Insufficient Permissions or Privileges). Mechanizm kontroli uprawnień w SDK jest na tyle słaby, że atakujący lub złośliwa aplikacja może uzyskać dostęp do zasobów i danych, które powinny być chronione. Podatność jest zdalnie wykorzystywalna (wektor sieciowy), nie wymaga interakcji użytkownika, choć wymaga uprawnień na poziomie wysokim (PR:H). Zakres ataku wykracza poza komponent, w którym występuje podatność (Scope: Changed).
Atakujący może uzyskać nieautoryzowany dostęp do wewnętrznych informacji aplikacji, co skutkuje naruszeniem poufności, integralności i dostępności danych. Podatność może prowadzić do ujawnienia wrażliwych danych przechowywanych przez SDK bez wiedzy i zgody użytkownika.
Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi na stronie OPPO Security (https://security.oppo.com/en/noticeDetail?notice_only_key=NOTICE-1759867611954552832). Zaleca się aktualizację SDK do wersji wskazanej przez producenta jako bezpieczna.
OPPO Usercenter Credit Software Development Kit — konkretne wersje wskazane w referencjach producenta (strona OPPO Security Notice).
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:HOppo Usercenter Credit Software Development Kit
APPOppowszystkie wersje
Powiązane podatności
A command injection vulerability found in quick game engine allows arbitrary remote code in quick app. Allows ...
Dynamic loading of services in the backup and restore SDK leads to elevated privileges, affected product is co...
QualityProtect has a vulnerability to execute arbitrary system commands, affected product is com.oppo.qualityp...
OvoiceManager has system permission to write vulnerability reports for arbitrary files, affected product is co...
ColorOS Assistant has an unauthenticated start-download channel, leading to file path traversal.