kyivstarteam react-native-sms-user-consent bis 1.1.4 auf Android SmsUserConsentModule.kt registerReceiver Local Privilege Escalation
Eine kritische Schwachstelle wurde in kyivstarteam react-native-sms-user-consent bis 1.1.4 für Android entdeckt. Betroffen davon ist die Funktion registerReceiver
der Datei android/src/main/java/ua/kyivstar/reactnativesmsuserconsent/SmsUserConsentModule.kt. Durch das Manipulieren mit unbekannten Daten kann eine Local Privilege Escalation-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-926. Der Fehler wurde am 23.04.2021 als 5423dcb0cd3e4d573b5520a71fa08aa279e4c3c7 veröffentlicht. Das Advisory kann von github.com heruntergeladen werden.
Die Identifikation der Schwachstelle findet als CVE-2021-4438 statt. Der Angriff muss lokal passieren. Es sind technische Details verfügbar. Es ist soweit kein Exploit verfügbar.
Er gilt als nicht definiert. Während seiner Zeit als 0-Day erzielte er wohl etwa $0-$5k auf dem Schwarzmarkt.
Ein Aktualisieren auf die Version 1.1.5 vermag dieses Problem zu lösen. Eine neue Version kann von github.com bezogen werden. Der Patch wird als 5423dcb0cd3e4d573b5520a71fa08aa279e4c3c7 bezeichnet. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle.
Zeitverlauf
62 weitere Einträge werden nicht mehr angezeigt