CVEbaza.plSłownik CWECWE-925
Common Weakness Enumeration

CWE-925

Improper Verification of Intent by Broadcast Receiver

Kategoria: VariantCVE: 3
Opis

Aplikacja Android wykorzystuje Broadcast Receiver, który odbiera Intent, ale nie weryfikuje prawidłowo, czy Intent pochodzi z autoryzowanego źródła. To może pozwolić złośliwym aplikacjom na wysłanie nieautoryzowanych intencji do wrażliwych komponentów.

Description (EN)

The Android application uses a Broadcast Receiver that receives an Intent but does not properly verify that the Intent came from an authorized source.

Podatności CVE z CWE-925 (3)
9.4
CVSS
CRITICAL
CVE-2024-10576

Urządzenia Infinix zawierają preinstalowaną aplikację 'com.transsion.agingfunction' z niezabezpieczonym broadcast receiverem, który może zostać wykorzystany przez dowolną aplikację lub skrypt bez żadnych uprawnień systemowych Android. Zagrożenie jest poważne, ponieważ skutkuje trwałą utratą wszystkich danych użytkownika na urządzeniu.

pub. 2024-12-04
5.3
CVSS
MEDIUM
CVE-2026-33173

Active Storage allows users to attach cloud and local files in Rails applications. Prior to versions 8.1.2.1, 8.0.4.1, and 7.2.3.1, `DirectUploadsController` accepts arbitrary metadata from the client and persists it on the blob. Because internal flags like `identified` and `analyzed` are stored in the same metadata hash, a direct-upload client can set these flags to skip MIME detection and analysis. This allows an attacker to upload arbitrary content while claiming a safe `content_type`, bypassing any validations that rely on Active Storage's automatic content type identification. Versions 8.1.2.1, 8.0.4.1, and 7.2.3.1 contain a patch.

pub. 2026-03-24
3.6
CVSS
LOW
CVE-2023-44126

The vulnerability is that the Call management ("com.android.server.telecom") app patched by LG sends a lot of LG-owned implicit broadcasts that disclose sensitive data to all third-party apps installed on the same device. Those intents include data such as call states, durations, called numbers, contacts info, etc.

pub. 2023-09-27
Informacje
ID: CWE-925
Typ: Variant
Podatności: 3
MITRE CWE ↗
← Słownik CWE
CWE-925 — Niewłaściwa weryfikacja źródła Intent przez Broadcast Receiver | Słownik CWE | CVEbaza.pl