CVE-2026-0055
MediumCVSS 6.2Summary
W metodzie createSessionInternal w PackageInstallerService.java występuje błąd związany z przejściem ścieżki, który umożliwia aktualizację kontrolera polityki urządzenia (DPC) do nieprawidłowego katalogu. Może to prowadzić do lokalnego podniesienia uprawnień bez potrzeby dodatkowych uprawnień wykonawczych.
Risk Assessment
Podatność ta stwarza ryzyko lokalnego podniesienia uprawnień, co może umożliwić nieautoryzowanym użytkownikom dostęp do wrażliwych zasobów systemowych. Brak interakcji użytkownika w procesie eksploatacji zwiększa zagrożenie.
Recommendation
Zaleca się aktualizację oprogramowania do najnowszej wersji, aby usunąć tę podatność. Należy również monitorować systemy w celu wykrywania nieautoryzowanych zmian w kontrolerze polityki urządzenia.
Original NVD description (English source)
In createSessionInternal of PackageInstallerService.java, there is a possible to update a Device Policy Controller (DPC) into an invalid directory due to a path traversal error. This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is not needed for exploitation.

