Zgłoś incydent
Cofnij
Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!
Projekty
n6 Artemis MWDB

Podatność w aplikacji Weather Infinix Mobile
30 grudnia 2024 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2024-12993
Data publikacji 30 grudnia 2024
Producent podatnego oprogramowania Infinix Mobile
Nazwa podatnego oprogramowania com.rlk.weathers
Podatne wersje 7.0.0.037
Typ podatności (CWE) Exposure of Sensitive System Information to an Unauthorized Control Sphere (CWE-497)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatności w aplikacji com.rlk.weathers preinstalowanej na urządzeniach Infinix Mobile i koordynował proces ujawniania informacji.

Urządzenia Infinix Mobile zawierają aplikację systemową com.rlk.weathers zawierającą podatność CVE-2024-12993, która poprzez niezabezpieczony komponent "Content provider" umożliwia komunikację i ujawnienie lokalizacji użytkownika bez wymaganych uprawnień systemu Android.

Nie udało nam się skontaktować z producentem oprogramowania. Należy przypuszczać, że podatność występuje we wszystkich urządzeniach mobilnych firmy Infinix.

Podziękowania

Za zgłoszenie podatności dziękujemy Szymonowi Chadamowi.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.