Тип ошибки:
MASWE-0058:Insecure Deep Links
Вектор уязвимости:
- Базовый вектор уязвимости (CVSSv3.1): CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
- Уровень критичности уязвимости (CVSSv3.1): 7.8 (high)
- Базовый вектор уязвимости (CVSSv4.0): CVSS:4.0/AV:L/AC:H/AT:N/PR:L/UI:N/VC:H/VI:L/VA:H/SC:H/SI:H/SA:H
- Уровень критичности уязвимости (CVSSv4.0): 7.2 (high)
Описание уязвимости:
В Android Jetpack Navigation Library была выявлена уязвимость, затрагивающая версии ниже 2.8.1.
Обнаруженная уязвимость дает возможность злоумышленнику, с помощью автоматически созданных неявных глубоких ссылок, открывать произвольные экраны в приложении и передавать им произвольные параметры.
Статус уязвимости: Подтверждена в ходе исследований
Дата исправления уязвимости: 18.09.2024
Рекомендации:
- Обновление до версии 2.8.1 или выше
Прочая информация:
Исследователь: Артем Кулаков (Positive Technologies)
Вендор:
Уязвимый продукт:
Android Jetpack Navigation Library
Уязвимые версии:
< 2.8.1