关键漏洞信息 漏洞详情 CVE ID: CVE-2024-13915, CVE-2024-13916, CVE-2024-13917 发布日期: 2025年5月30日 厂商: Ulefone 和 Krüger&Matz 产品: - com.pri.factorytest (Ulefone) - com.pri.applock (Krüger&Matz) 易受攻击的版本: - com.pri.factorytest: 所有至1.0 - com.pri.applock: 13 漏洞类型 (CWE): - CVE-2024-13915: 不当导出Android应用程序组件 (CWE-926) - CVE-2024-13916: 敏感系统信息暴露给未经授权的控制范围 (CWE-497) - CVE-2024-13917: 不当导出Android应用程序组件 (CWE-926) 描述 CERT Polska 收到了关于预装在 Ulefone 和 Krüger&Matz 智能手机上的应用程序漏洞的报告,并参与了披露协调。 CVE-2024-13915: 预装的 "com.pri.factorytest" 应用程序允许任何应用执行设备出厂重置。 CVE-2024-13916: 预装的 "com.pri.applock" 应用程序允许恶意应用在没有授予的 Android 系统权限的情况下提取 PIN 码。 CVE-2024-13917: 预装的 "com.pri.applock" 应用程序允许恶意应用注入任意意图,以系统级权限访问受保护的应用程序。 致谢 感谢 Szymon Chadam 提供负责任的漏洞报告。