خانه » CVE-2025-20954
هشدار‌های سایبری

CVE-2025-20954

Use of implicit intent for sensitive communication in EnrichedCall

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 3 بازدید
هشدار سایبری CVE-2025-20954
  • شناسه CVE-2025-20954 :CVE
  • NA :CWE
  • yes :Advisory
  • منتشر شده: می 7, 2025
  • به روز شده: می 7, 2025
  • امتیاز: 5.5
  • نوع حمله: Information Disclosure
  • اثر گذاری: Unknown
  • حوزه: تلفن همراه
  • برند: Samsung
  • محصول: Samsung Mobile Devices
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

یک آسیب‌پذیری در کامپوننت EnrichedCall ناشی از استفاده نادرست از Implicit Intent برای تبادل داده‌های حساس، در نسخه‌های پیش از به‌روزرسانی امنیتی ماه می 2025 (SMR May-2025 Release 1) شناسایی شده است. بهره‌برداری موفق از این آسیب پذیری امنیتی نیازمند تعامل کاربر بوده و به مهاجم لوکال اجازه می‌دهد به اطلاعاتی دسترسی پیدا کند که در حالت عادی باید تنها میان کامپوننت های معتبر سیستم  تبادل شوند.

توضیحات

در نسخه‌های آسیب‌پذیر، ماژول EnrichedCall داده‌های حساس را از طریق Implicit Intent منتقل می‌کند. این طراحی نادرست موجب می‌شود اپلیکیشن‌های غیرمجاز بتوانند با سوءاستفاده از این مکانیزم، به اطلاعات محرمانه دسترسی یافته و آن‌ها را رهگیری یا مشاهده کنند. اجرای موفق این بهره‌برداری نیازمند تعامل محدود کاربر  بوده، اما مهاجم نیازی به مجوز اولیه ندارد.

پچ امنیتی ارائه‌شده از سوی سامسونگ با پیاده‌سازی کنترل دسترسی صحیح (Access Control) این آسیب‌پذیری را برطرف کرده و از افشای اطلاعات جلوگیری می‌کند.

CVSS

Score Severity Version Vector String
5.5 MEDIUM 3.1 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

لیست محصولات آسیب پذیر

Versions Platform Product
affected at prior to SMR May-2025 Release in Android 13, 14, 15 Android Samsung Mobile Devices

لیست محصولات بروز شده

Versions Platform Product
unaffected at SMR May-2025 Release in Android 13, 14, 15 Android Samsung Mobile Devices

نتیجه گیری

بهره‌برداری از این آسیب‌پذیری می‌تواند منجر به افشای اطلاعات حساس شده و تهدیدی مستقیم برای محرمانگی ارتباطات در ماژول EnrichedCall ایجاد کند. به‌روزرسانی به نسخه ایمن منتشرشده از سوی سامسونگ به‌طور جدی توصیه می‌شود تا ریسک افشای داده به حداقل برسد و امنیت تعاملات مبتنی بر EnrichedCall حفظ گردد.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-20954
  2. https://www.cvedetails.com/cve/CVE-2025-20954
  3. https://security.samsungmobile.com/securityUpdate.smsb?year=2025&month=05
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-20954
  5. https://vuldb.com/?id.307701
  6. https://nvd.nist.gov/vuln/detail/CVE-2025-20954

همچنین ممکن است دوست داشته باشید

CVE-2025-20970

CVE-2025-20969

CVE-2025-20968

CVE-2025-31324

CVE-2025-20967

CVE-2025-20965

CVE-2025-20964

CVE-2025-20963

CVE-2025-20961

CVE-2025-20959

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.