CVE-2025-48633

CVSS 5.5 MEDIUMEPSS 0.2%● KEV

En resumen

Un fallo en el Gestor de Política de Dispositivo de Android permite agregar una cuenta de Device Owner después de que el dispositivo ya haya sido configurado, eludiendo las verificaciones de seguridad normales. Esto podría permitir a un atacante obtener control administrativo del dispositivo sin necesidad de permisos especiales o aprobación del usuario.

Detalle técnico

El CVE-2025-48633 explota un error lógico en hasAccountsOnAnyUser() del DevicePolicyManagerService.java que permite el aprovisionamiento de Device Owner post-configuración. El vector de ataque es local; no requiere privilegios adicionales ni interacción del usuario. La explotación exitosa resulta en escalación de privilegios al nivel de Device Owner, otorgando control administrativo completo del dispositivo.

Resumen generado y traducido por IA a partir de la descripción oficial.

In hasAccountsOnAnyUser of DevicePolicyManagerService.java, there is a possible way to add a Device Owner after provisioning due to a logic error in the code. This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is not needed for exploitation.

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Productos afectados

Google · Android

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://android.googlesource.com/platform/frameworks/base/+/d00bcda9f42dcf272d329e9bf9298f32af732f93 https://source.android.com/security/bulletin/2025-12-01 https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-48633