← voltar
CVE-2021-0920

CVE-2021-0920

CVSS 6.4 MEDIUMEPSS 0.8%● KEVCWE-416
Em resumo

Uma falha de condição de corrida na implementação de sockets Unix do Android permite que um atacante local use memória que já foi liberada, podendo ganhar privilégios de nível de sistema sem precisar interagir com o usuário.

Detalhe técnico

CVE-2021-0920 é uma vulnerabilidade use-after-free (CWE-416) em unix_scm_to_skb() dentro de af_unix.c, desencadeada por uma condição de corrida em operações concorrentes de socket. Código local pode explorar isso para alcançar escalação de privilégio para nível de sistema; sem necessidade de interação do usuário.

Resumo gerado e traduzido por IA a partir da descrição oficial.
In unix_scm_to_skb of af_unix.c, there is a possible use after free bug due to a race condition. This could lead to local escalation of privilege with System execution privileges needed. User interaction is not needed for exploitation.Product: AndroidVersions: Android kernelAndroid ID: A-196926917References: Upstream kernel
CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · Android

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://lists.debian.org/debian-lts-announce/2021/12/msg00012.htmlhttps://source.android.com/security/bulletin/2021-11-01https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2021-0920