| タイトル | Google の androidx.car.app における信頼できないデータのデシリアライゼーションに関する脆弱性 |
|---|---|
| 概要 | Google の androidx.car.app には、信頼できないデータのデシリアライゼーションに関する脆弱性、コードインジェクションの脆弱性が存在します。 |
| 想定される影響 | 情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。 |
| 対策 | 参考情報を参照して適切な対策を実施してください。 |
| 公表日 | 2024年11月20日0:00 |
| 登録日 | 2025年8月5日17:23 |
| 最終更新日 | 2025年8月5日17:23 |
| CVSS3.0 : 重要 | |
| スコア | 7.5 |
|---|---|
| ベクター | CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:H |
| androidx.car.app 1.4.0 およびそれ以前 |
| androidx.car.app 1.7.0 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2025年08月05日] 掲載 | 2025年8月5日16:12 |
| 概要 | There exists a code execution vulnerability in the Car App Android Jetpack Library. CarAppService uses deserialization logic that allows construction of arbitrary java classes. This can lead to arbitrary code execution when combined with specific Java deserialization gadgets. An attacker needs to install a malicious application on victims device to be able to attack any application that uses vulnerable library. We recommend upgrading the library past version 1.7.0-beta02. |
|---|---|
| 公表日 | 2024年11月20日20:15 |
| 登録日 | 2024年11月21日5:00 |
| 最終更新日 | 2024年11月26日20:21 |