VDB-284411 · CVE-2024-43093 · EUVD-2024-40034

Google Android 12/13/14/15 ExternalStorageProvider.java shouldHideDocument Local Privilege Escalation

CVSS Puntuación meta temporal	Precio actual del exploit (≈)	Puntuación de interés CTI
6.7	$0-$5k	0.00

Resumeninformación

Una vulnerabilidad ha sido encontrada en Google Android 12/13/14/15 y clasificada como problemática. Se ve afectada una función desconocida del archivo ExternalStorageProvider.java. A través de la manipulación de un input desconocido se causa una vulnerabilidad de clase Local Privilege Escalation. Esta vulnerabilidad está identificada como CVE-2024-43093. El ataque debe ser hecho local. Además, hay un exploit disponible. Se aconseja instalar un parche para corregir este problema.

Detallesinformación

Una vulnerabilidad fue encontrada en Google Android 12/13/14/15 y clasificada como problemática. La función shouldHideDocument del archivo ExternalStorageProvider.java es afectada por esta vulnerabilidad. Por la manipulación de un input desconocido se causa una vulnerabilidad de clase local privilege escalation. Esto tiene repercusión sobre la confidencialidad, integridad y disponibilidad. El resumen de CVE es:

En shouldHideDocument de ExternalStorageProvider.java, existe una posible omisión de un filtro de ruta de archivo diseñado para evitar el acceso a directorios confidenciales debido a una normalización incorrecta de Unicode. Esto podría provocar una escalada local de privilegios sin necesidad de permisos de ejecución adicionales. Se necesita la interacción del usuario para la explotación.

El advisory puede ser descargado de android.googlesource.com. La vulnerabilidad es identificada como CVE-2024-43093. La explotación se considera fácil. El ataque debe ser hecho local. Los detalles técnicos asi como un exploit son conocidos.

Fue declarado como atacado.

Aplicando un parche es posible eliminar el problema.

La vulnerabilidad también está documentado en las bases de datos Zero-Day.cz (930), EUVD (EUVD-2024-40034) y CERT Bund (WID-SEC-2025-0477). Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Afectado

Google Android

Productoinformación

Escribe

Smartphone Operating System

Proveedor

Google

Nombre

Android

Versión

Licencia

libre

Sitio web

Proveedor: https://www.google.com/

CPE 2.3información

CPE 2.2información

CVSSv4información

VulDB Vector: 🔍
VulDB Confiabilidad: 🔍

CVSSv3información

VulDB Puntuación meta base: 6.8
VulDB Puntuación meta temporal: 6.7

VulDB Puntuación base: 5.3
VulDB Puntuación temporal: 5.1
VulDB Vector: 🔍
VulDB Confiabilidad: 🔍

NVD Puntuación base: 7.3
NVD Vector: 🔍

CNA Puntuación base: 7.8
CNA Vector (google_android): 🔍

CVSSv2información

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vector	Complejidad	Autenticación	Confidencialidad	Integridad	Disponibilidad
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear

VulDB Puntuación base: 🔍
VulDB Puntuación temporal: 🔍
VulDB Confiabilidad: 🔍

Explotacióninformación

Clase: Local Privilege Escalation
CWE: CWE-176 / CWE-172
CAPEC: 🔍
ATT&CK: 🔍

Físico: En parte
Local: Sí
Remoto: En parte

Disponibilidad: 🔍
Estado: Atacado

EPSS Score: 🔍
EPSS Percentile: 🔍

KEV Añadido: 🔍
KEV ¿Hasta cuándo?: 🔍
KEV Contramedidas: 🔍
KEV Ransomware: 🔍
KEV Aviso: 🔍

Predicción de precios: 🔍
Estimación del precio actual: 🔍