CVE-2026-28575
ŚrednieCVSS 5.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 14 — wyżej niż 14% wszystkich znanych CVE
Streszczenie
W pliku PackageInstallerSession.java występuje błąd logiczny, który może prowadzić do ataku wyczerpania pamięci. Może to skutkować lokalnym odmową usługi bez potrzeby dodatkowych uprawnień wykonawczych.
Ocena ryzyka
Organizacja może doświadczyć lokalnych ataków odmowy usługi, co może wpłynąć na dostępność systemów i usług.
Rekomendacja
Zaleca się monitorowanie i aktualizację systemów w celu eliminacji tej podatności oraz wdrożenie mechanizmów ochrony przed atakami odmowy usługi.
Oryginalny opis (angielski, źródło NVD)
In PackageInstaller.Session#transfer of frameworks/base/services/core/java/com/android/server/pm/PackageInstallerSession.java, there is a possible memory exhaustion attack due to a logic error in the code. This could lead to local denial of service with no additional execution privileges needed. User interaction is not needed for exploitation.

