CVSS: 4.3EPSS: 0%CPEs: 7EXPL: 0CVE-2011-1001
https://notcve.org/view.php?id=CVE-2011-1001
dexdump in Android SDK before 2.3 does not properly perform structural verification, which allows user-assisted remote attackers to cause a denial of service (dexdump crash) and possibly execute arbitrary code via a malformed APK or dex file that calls a method using more arguments than the number of register that have been declared for that method. dexdump en Android SDK antes de v2.3 no realiza correctamente la verificación estructural, lo que permite a atacantes remotos asistidos por el usuario provocar una denegación de servicio (caída de dexdump) y posiblemente ejecutar código de su elección a través de un archivo APK o dex mal formado que llama a un método usando mas argumentos que el número que ha sido declarado para ese método. • http://android.git.kernel.org/?p=platform/dalvik.git%3Ba=commit%3Bh=4b0750e8df91220690bb417f45d7ae8b7851b220 http://seclists.org/fulldisclosure/2011/Mar/329 • CWE-20: Improper Input Validation •
CVSS: 4.3EPSS: 12%CPEs: 9EXPL: 1CVE-2010-4804 – Google Android - 'content://' URI Multiple Information Disclosure Vulnerabilities
https://notcve.org/view.php?id=CVE-2010-4804
The Android browser in Android before 2.3.4 allows remote attackers to obtain SD card contents via crafted content:// URIs, related to (1) BrowserActivity.java and (2) BrowserSettings.java in com/android/browser/. El navegador de Android antes de la v2.3.4 de Android permite a atacantes remotos obtener el contenido de tarjetas SD a través de peticiones content://URIs, en relación con (1) BrowserActivity.java y (2) BrowserSettings.java en com/android/browser. Android versions prior to 2.3.4 suffer from content:// URI information disclosure vulnerabilities. • https://www.exploit-db.com/exploits/18164 http://android.git.kernel.org/?p=platform/frameworks/base.git%3Ba=commit%3Bh=f440831d76817e837164ca18c7705e81d2391f87 http://android.git.kernel.org/?p=platform/packages/apps/Browser.git%3Ba=commit%3Bh=604a598e1e01bda781600a45e0a971898a582666 http://thomascannon.net/blog/2010/11/android-data-stealing-vulnerability http://www.csc.ncsu.edu/faculty/jiang/nexuss.html http://www.securityfocus.com/bid/48256 http://www.slashgear.com/android-data-theft-exploit-to-be-plugged-in& • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 7.2EPSS: 0%CPEs: 6EXPL: 1CVE-2011-1149
https://notcve.org/view.php?id=CVE-2011-1149
Android before 2.3 does not properly restrict access to the system property space, which allows local applications to bypass the application sandbox and gain privileges, as demonstrated by psneuter and KillingInTheNameOf, related to the use of Android shared memory (ashmem) and ASHMEM_SET_PROT_MASK. Android anterior a v2.3 no restringe de forma adecuada el acceso al espacio de propiedad del sistema, lo que permite a las aplicaciones locales evitar los privilegios de recinto de seguridad de aplicaciones y obtener privilegios, como lo demuestra psneuter y KillingInTheNameOf, relacionado con el uso de la memoria compartida Android (ashmem) y ASHMEM_SET_PROT_MASK. • http://android.git.kernel.org/?p=kernel/common.git%3Ba=commit%3Bh=c98a285075f26e2b17a5baa2cb3eb6356a75597e http://android.git.kernel.org/?p=platform/system/core.git%3Ba=commit%3Bh=25b15be9120bcdaa0aba622c67ad2c835d9e91ca http://c-skills.blogspot.com/2011/01/adb-trickery-again.html http://forum.xda-developers.com/wiki/index.php?title=HTC_Vision#Rooting_the_G2 http://groups.google.com/group/android-security-discuss/browse_thread/thread/15f97658c88d6827/e86db04652651971?show_docid=e86db04652651971 https://github.com/tmzt/g2 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 5.0EPSS: 0%CPEs: 6EXPL: 0CVE-2011-0680
https://notcve.org/view.php?id=CVE-2011-0680
data/WorkingMessage.java in the Mms application in Android before 2.2.2 and 2.3.x before 2.3.2 does not properly manage the draft cache, which allows remote attackers to read SMS messages intended for other recipients in opportunistic circumstances via a standard text messaging service. data/WorkingMessage.java en la aplicación Mms en Android anterior a v2.2.2 y v2.3.x anterior a v2.3.2 no maneja adecuadamente la 'draft' caché, lo que permite a atacantes remotos leer mensajes SMS previstos para otros destinatarios en circustancias oportunas a través de un servicio estándar de mensajes de texto. • http://android.git.kernel.org/?p=platform/packages/apps/Mms.git%3Ba=commit%3Bh=18d6b7e9d2e538fb3c0264332b96c02abf367267 http://android.git.kernel.org/?p=platform/packages/apps/Mms.git%3Ba=commit%3Bh=4d26623ce82230e8e7009adb921c5edea370a9e0 http://code.google.com/p/android/issues/detail?id=9392#c1460 http://code.google.com/p/android/issues/detail?id=9392#c1620 http://phandroid.com/2011/01/21/android-2-3-2-update-pushing-to-nexus-s-phone-fixes-sms-bug http://twitter.com/GalaxySsupport/statuses/28078194 •
CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0CVE-2010-4214
https://notcve.org/view.php?id=CVE-2010-4214
The Wells Fargo Mobile application 1.1 for Android stores a username and password, along with account balances, in cleartext, which might allow physically proximate attackers to obtain sensitive information by reading application data. La aplicación Wells Fargo Mobile v1.1 para Android almacena el nombre de usuario y la contraseña, junto con los saldos de cuentas, en texto plano, lo que podría permitir a atacantes físicamente próximos obtener información sensible mediante la lectura de datos de aplicación. • http://news.cnet.com/8301-27080_3-20021874-245.html http://online.wsj.com/article/SB10001424052748703805704575594581203248658.html http://viaforensics.com/appwatchdog/wells-fargo-android.html • CWE-310: Cryptographic Issues •