CVE-2025-48633

CVSS 5.5 MEDIUMEPSS 0.2%● KEV

Em resumo

Uma falha no Gerenciador de Política de Dispositivo do Android permite que alguém adicione uma conta de Device Owner após a configuração inicial do aparelho, contornando as verificações de segurança normais. Isso pode permitir que um invasor ganhe controle administrativo do dispositivo sem precisar de permissões especiais ou aprovação do usuário.

Detalhe técnico

O CVE-2025-48633 explora um erro de lógica em hasAccountsOnAnyUser() no DevicePolicyManagerService.java que permite o provisionamento de Device Owner após a configuração inicial. O vetor de ataque é local e não requer privilégios adicionais ou interação do usuário. A exploração bem-sucedida resulta em escalação de privilégio para o nível Device Owner, concedendo controle administrativo total.

Resumo gerado e traduzido por IA a partir da descrição oficial.

In hasAccountsOnAnyUser of DevicePolicyManagerService.java, there is a possible way to add a Device Owner after provisioning due to a logic error in the code. This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is not needed for exploitation.

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Produtos afetados

Google · Android

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://android.googlesource.com/platform/frameworks/base/+/d00bcda9f42dcf272d329e9bf9298f32af732f93 https://source.android.com/security/bulletin/2025-12-01 https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-48633