| CVE ID | CVE-2024-12993 |
| Data publikacji | 30 grudnia 2024 |
| Producent podatnego oprogramowania | Infinix Mobile |
| Nazwa podatnego oprogramowania | com.rlk.weathers |
| Podatne wersje | 7.0.0.037 |
| Typ podatności (CWE) | Exposure of Sensitive System Information to an Unauthorized Control Sphere (CWE-497) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w aplikacji com.rlk.weathers preinstalowanej na urządzeniach Infinix Mobile i koordynował proces ujawniania informacji.
Urządzenia Infinix Mobile zawierają aplikację systemową com.rlk.weathers zawierającą podatność CVE-2024-12993, która poprzez niezabezpieczony komponent "Content provider" umożliwia komunikację i ujawnienie lokalizacji użytkownika bez wymaganych uprawnień systemu Android.
Nie udało nam się skontaktować z producentem oprogramowania. Należy przypuszczać, że podatność występuje we wszystkich urządzeniach mobilnych firmy Infinix.
Podziękowania
Za zgłoszenie podatności dziękujemy Szymonowi Chadamowi.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.