- شناسه CVE-2025-27701 :CVE
- CWE-476 :CWE
- yes :Advisory
- منتشر شده: می 27, 2025
- به روز شده: می 27, 2025
- امتیاز: 5.5
- نوع حمله: Unknown
- اثر گذاری: Information Disclosure
- حوزه: سیستمعاملها و اجزای کلیدی آن
- برند: Google
- محصول: Android
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
یک آسیبپذیری در تابع process_crypto_cmd در کرنل سیستمعامل اندروید، شناسایی شده است که به دلیل عدم بررسی مقدار NULL در بخشی از کد، ممکن است منجر به افشای اطلاعات شود. این آسیب پذیری امنیتی زمانی رخ میدهد که دادههایی که ممکن است NULL باشند، بدون بررسی مورد استفاده قرار میگیرند.
توضیحات
از آرایهای به نام ptrs[i]، در کرنل اندروید و در تابعی به نام process_crypto_cmd استفاده میشود که ممکن است برخی از المنت های آن مقدار NULL داشته باشند. این آرایه بعد از فراخوانی تابع slice_map_array() ایجاد میشود و در این حالت، وجود مقدار NULL غیرعادی نیست.
مشکل از جایی شروع میشود که برنامه بدون اینکه بررسی کند آیا این مقادیر واقعاً معتبر هستند یا نه، مستقیماً از آنها استفاده میکند. این کار میتواند باعث شود برنامه اطلاعاتی را از بخشهایی از حافظه بخواند که نباید به آنها دسترسی داشته باشد (که به آن OOB Read گفته میشود) یا باعث اختلال موقت (Temporary DoS) در عملکرد سیستم شود. در نهایت، این آسیب پذیری میتواند منجر به افشای اطلاعات حساس از دستگاه شود.
CVSS
| Score | Severity | Version | Vector String |
| 5.5 | MEDIUM | 3.1 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected at Android kernel | Android |
لیست محصولات بروز شده
| Versions | Product |
| 2025/05/05 Patch Level | Android |
نتیجه گیری
کاربران باید در اسرع وقت بهروزرسانی امنیتی منتشرشده توسط گوگل را نصب کرده تا از خطرات احتمالی جلوگیری شود.
منابع
