Vulnerabilidades de control de acceso y omisión de filtros de URLs en Samsung Galaxy Store

Se ha reportado un nuevo aviso de seguridad sobre dos vulnerabilidades con PoC pública que afectan a la aplicación Samsung Galaxy Store, que permitirían a un atacante local la instalación no autorizada de aplicaciones y evadir mecanismos de control en el sistema afectado. 

Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Alta” y 1 (una) de severidad “Media”. Las mismas se detallan a continuación: 

  • CVE-2023-21433, de severidad “Alta” y sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla de seguridad en el control de acceso en Samsung Galaxy Store. Esto permitiría a un atacante local instalar aplicaciones disponibles en Samsung Galaxy Store sin el conocimiento del usuario, poniendo en peligro al sistema afectado (con sistema operativo Android versión 12 o anteriores). 
  • CVE-2023-21434, de severidad “Media” y puntuación asignada aún. Esta vulnerabilidad se debe a la validación incorrecta de datos de entrada en Samsung Galaxy Store. Esto permitiría a un atacante local evadir control de filtros de URLs, para así ejecutar código JavaScript en el sistema afectado (con sistema operativo Android versión 12 o anteriores).  

Los productos afectados son:  

  • Samsung Galaxy Store, versiones a partir de 4.5.44.1 y previas a 4.5.49.8. 
  • Samsung Galaxy Store, versiones a partir de 4.5.48.3 y previas a 4.5.49.8. 

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante la siguiente guía: 

Referencias: 

Compartir: