CVE-2026-37526 in app-framework-binderinfo

Zusammenfassung

von VulDB • 29.05.2026

Das AGL app-framework-binder (afb-daemon) bis Version v19.90.0 ermöglicht es jedem lokalen Prozess, privilegierte Überwachungsbefehle (Exit, Do, Sclose, Config, Trace, Debug, Token, slist) ohne Authentifizierung über den abstrakten Unix-Socket @urn:AGL:afs:supervision:socket auszuführen. Die Funktion on_supervision_call in src/afb-supervision.c leitet alle 8 Befehle ohne jegliche Berechtigungsprüfung weiter. Der abstrakte Socket verfügt über keinen DAC-Schutz (Discretionary Access Control), wie im offiziellen CAUTION-Kommentar in src/afs-supervision.h bestätigt wird. Dies ermöglicht es einem lokal gering privilegierten Prozess, den Daemon zu beenden (DoS über den Exit-Befehl), beliebige API-Aufrufe auszuführen (über den Do-Befehl), beliebige Benutzersitzungen zu schließen (über den Sclose-Befehl) oder die gesamte globale Konfiguration auszulesen (über den Config-Befehl). Die Schwachstelle wurde durch den Commit b8c9d5de384efcfa53ebdb3f0053d7b3723777e1 am 2017-06-29 eingeführt.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

MITRE

Reservieren

06.04.2026

Veröffentlichung

01.05.2026

Moderieren

akzeptiert

Eintrag

VDB-360774

CPE

bereit

EPSS

0.00024

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-37526
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-37526
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-37526/

ZurückÜbersichtWeiter

Want to stay up to date on a daily basis?

Enable the mail alert feature now!