一、 漏洞 CVE-2025-32324 基础信息
漏洞信息
# N/A
## 概述
在 `ActivityManagerShellCommand.java` 的 `onCommand` 方法中,存在一个由于混淆代理(confused deputy)导致的**任意 Activity 启动漏洞**。
## 影响版本
未明确指定具体影响的 Android 版本,但涉及 Android 系统中使用 `ActivityManagerShellCommand` 的部分。
## 细节
- `onCommand` 方法在处理意图(Intent)启动 Activity 时,未正确校验调用来源或意图目标。
- 攻击者可构造恶意命令,诱导系统以更高权限启动任意 Activity。
- 该漏洞源于 ShellCommand 在处理请求时未明确区分调用者权限和目标 Intent 权限。
## 影响
- **本地提权(Local Escalation of Privilege)**:攻击者可利用此漏洞在系统中以更高权限启动 Activity。
- **无需用户交互**:漏洞可被自动触发,无需用户操作。
- **无需额外执行权限**:攻击者仅需本地执行基本命令即可完成利用。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
In onCommand of ActivityManagerShellCommand.java, there is a possible arbitrary activity launch due to a confused deputy. This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is not needed for exploitation.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Google Android 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。 Google Android存在安全漏洞,该漏洞源于代理混淆,可能导致本地权限提升。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-32324 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | Simple script to add a new, unrestricted user on devices with Family Link by abusing CVE-2025-32324 (pre September patch) | https://github.com/rifting/UnrestrictedUserCreator | POC详情 |
三、漏洞 CVE-2025-32324 的情报信息
-
标题: 0fb2788dac393086b7e53fbe05414368ae395d9b - platform/frameworks/base - Git at Google -- 🔗来源链接
标签:
神龙速读
-
- https://nvd.nist.gov/vuln/detail/CVE-2025-32324
四、漏洞 CVE-2025-32324 的评论
暂无评论