CVE-2023-38290 in Rouvo V情報

要約

〜によって VulDB • 2026年07月09日

BLU View 2およびSharp Rouvo VのAndroidデバイス向けの一部ソフトウェアビルドには、パッケージ名がcom.evenwell.fqc(versionCode='9020801'、versionName='9.0208.01'; versionCode='9020913'、versionName='9.0209.13'; versionCode='9021203'、versionName='9.0212.03')の脆弱なプリインストールアプリが含まれており、アクセス制御の不備により、ローカルのサードパーティ製アプリがそのコンテキスト(systemユーザー)内で任意のシェルコマンドを実行できます。com.evenwell.fqcアプリの脆弱性を悪用するには、権限や特別な特権は必要ありません。また、サードパーティ製アプリをインストールして実行する以外のユーザー操作も不要です。この脆弱性により、ローカルアプリは通常プリインストールアプリにのみ制限されている機能的なアクセスが可能となり、以下のようなアクションがプログラム的に実行できます:任意のパーミッションの付与(これを使用して機密性の高いユーザーデータを取得可能)、任意のアプリのインストール、画面録画、デバイスの消去(ユーザーのアプリとデータの削除)、任意の入力イベントのインジェクション、緊急電話番号への発信、アプリの有効化/無効化、通知へのアクセスなど。確認された各脆弱なデバイスのソフトウェアビルドフィンガープリントは以下の通りです:BLU View 2 (BLU/B131DL/B130DL:11/RP1A.200720.011/1672046950:user/release-keys, BLU/B131DL/B130DL:11/RP1A.200720.011/1663816427:user/release-keys, BLU/B131DL/B130DL:11/RP1A.200720.011/1656476696:user/release-keys, BLU/B131DL/B130DL:11/RP1A.200720.011/1647856638:user/release-keys) および Sharp Rouvo V (SHARP/VZW_STTM21VAPP/STTM21VAPP:12/SP1A.210812.016/1KN0_0_460:user/release-keys, SHARP/VZW_STTM21VAPP/STTM21VAPP:12/SP1A.210812.016/1KN0_0_530:user/release-keys)。この悪意のあるアプリは、com.evenwell.fqc/.activity.ClickTestという名前のエクスポートされたアクティビティを開始し、空のIntent(つまりextrasを持たない)をcom.evenwell.fqc/.FQCBroadcastReceiverレシーバーコンポーネントに送信してcom.evenwell.fqcアプリをクラッシュさせ、その後、コマンドを実行する任意のシェルコマンドを「system」特権で実行するcom.evenwell.fqc/.FQCServiceサービスコンポーネントに送信します。

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

予約する

2023年07月14日

モデレーション

承諾済み

エントリ

VDB-261724

EPSS

0.00192

アクティビティ

非常低い

ソース

Do you want to use VulDB in your project?

Use the official API to access entries easily!