CVSS: 6.7EPSS: 0%CPEs: 11EXPL: 0CVE-2022-26448
https://notcve.org/view.php?id=CVE-2022-26448
In apusys, there is a possible out of bounds write due to a missing bounds check. This could lead to local escalation of privilege with System execution privileges needed. User interaction is not needed for exploitation. Patch ID: ALPS07063849; Issue ID: ALPS07063849. En apusys, es posible que se produzca una escritura fuera de límites debido a una falta de comprobación de límites. • https://corp.mediatek.com/product-security-bulletin/September-2022 • CWE-787: Out-of-bounds Write •
CVSS: 9.8EPSS: 0%CPEs: 4EXPL: 0CVE-2022-20361
https://notcve.org/view.php?id=CVE-2022-20361
In btif_dm_auth_cmpl_evt of btif_dm.cc, there is a possible vulnerability in Cross-Transport Key Derivation due to Weakness in Bluetooth Standard. This could lead to remote escalation of privilege with no additional execution privileges needed. User interaction is not needed for exploitation.Product: AndroidVersions: Android-10 Android-11 Android-12 Android-12LAndroid ID: A-231161832 En la función btif_dm_auth_cmpl_evt del archivo btif_dm.cc, se presenta una posible vulnerabilidad en la Derivación de Claves de Transporte Cruzado debido a una debilidad en el estándar Bluetooth. Esto podría conllevar a una escalada de privilegios remota sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. • https://source.android.com/security/bulletin/2022-08-01 •
CVSS: 7.8EPSS: 0%CPEs: 4EXPL: 0CVE-2022-20360
https://notcve.org/view.php?id=CVE-2022-20360
In setChecked of SecureNfcPreferenceController.java, there is a missing permission check. This could lead to local escalation of privilege from the guest user with no additional execution privileges needed. User interaction is not needed for exploitation.Product: AndroidVersions: Android-10 Android-11 Android-12 Android-12LAndroid ID: A-228314987 En la función setChecked del archivo SecureNfcPreferenceController.java, falta una comprobación de permisos. Esto podría conllevar a una escalada local de privilegios desde el usuario invitado sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. • https://source.android.com/security/bulletin/2022-08-01 • CWE-862: Missing Authorization •
CVSS: 3.3EPSS: 0%CPEs: 4EXPL: 0CVE-2022-20358
https://notcve.org/view.php?id=CVE-2022-20358
In startSync of AbstractThreadedSyncAdapter.java, there is a possible way to access protected content of content providers due to a missing permission check. This could lead to local information disclosure with User execution privileges needed. User interaction is not needed for exploitation.Product: AndroidVersions: Android-10 Android-11 Android-12 Android-12LAndroid ID: A-203229608 En la función startSync del archivo AbstractThreadedSyncAdapter.java, se presenta una posible forma de acceder al contenido protegido de los proveedores de contenido debido a una falta de comprobación de permisos. Esto podría conllevar a una divulgación de información local con los privilegios de ejecución User necesarios. No es requerida una interacción del usuario para su explotación. • https://source.android.com/security/bulletin/2022-08-01 • CWE-862: Missing Authorization •
CVSS: 7.8EPSS: 0%CPEs: 3EXPL: 0CVE-2022-20356
https://notcve.org/view.php?id=CVE-2022-20356
In shouldAllowFgsWhileInUsePermissionLocked of ActiveServices.java, there is a possible way to start foreground service from background due to improper input validation. This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is not needed for exploitation.Product: AndroidVersions: Android-11 Android-12 Android-12LAndroid ID: A-215003903 En la función shouldAllowFgsWhileInUsePermissionLocked del archivo ActiveServices.java, se presenta una posible forma de iniciar el servicio en primer plano desde el fondo debido a una comprobación de entrada inapropiada. Esto podría conllevar a una escalada local de privilegios sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. • https://source.android.com/security/bulletin/2022-08-01 • CWE-20: Improper Input Validation •