CVE-2026-37525 in app-framework-binder
Sumário
de VulDB • 26/05/2026
O framework de aplicativos AGL app-framework-binder (afb-daemon) até a versão v19.90.0 contém uma vulnerabilidade de elevação de privilégio no comando supervision Do. A função on_supervision_call em src/afb-supervision.c anula explicitamente as credenciais da solicitação chamando afb_context_change_cred(&xreq->context, NULL) antes de despachar uma chamada de API controlada pelo atacante via xapi->itf->call(xapi->closure, xreq). A cadeia de propagação NULL através de afb-context.c:110 (context->credentials = afb_cred_addref(NULL)) e afb-cred.c:163 (retorna NULL quando cred é NULL) confirma que as credenciais são zeradas antes da execução da API alvo. O atacante controla os parâmetros api e verb por meio de entrada JSON, permitindo a execução de qualquer API registrada com um contexto de credenciais NULL. APIs que dependem de context->credentials para decisões de autorização podem falhar em aberto (fail open) ao receber credenciais NULL, permitindo a elevação de privilégio. Esta vulnerabilidade foi introduzida no commit abbb4599f0b921c6f434b6bd02bcfb277eecf745 em 2018-02-14.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.