Katalog CVE

CVE-2026-0055

ŚrednieCVSS 6.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

W metodzie createSessionInternal w PackageInstallerService.java występuje błąd związany z przejściem ścieżki, który umożliwia aktualizację kontrolera polityki urządzenia (DPC) do nieprawidłowego katalogu. Może to prowadzić do lokalnego podniesienia uprawnień bez potrzeby dodatkowych uprawnień wykonawczych.

Ocena ryzyka

Podatność ta stwarza ryzyko lokalnego podniesienia uprawnień, co może umożliwić nieautoryzowanym użytkownikom dostęp do wrażliwych zasobów systemowych. Brak interakcji użytkownika w procesie eksploatacji zwiększa zagrożenie.

Rekomendacja

Zaleca się aktualizację oprogramowania do najnowszej wersji, aby usunąć tę podatność. Należy również monitorować systemy w celu wykrywania nieautoryzowanych zmian w kontrolerze polityki urządzenia.

Oryginalny opis (angielski, źródło NVD)

In createSessionInternal of PackageInstallerService.java, there is a possible to update a Device Policy Controller (DPC) into an invalid directory due to a path traversal error. This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is not needed for exploitation.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS