Insufficient input filtering of "package name" allows command execution in the device with shell privileges 漏洞信息(CVE-2024-32653)

一、漏洞 CVE-2024-32653 基础信息

漏洞标题

“包名”输入过滤不足，允许在设备上使用shell权限执行命令

来源：AIGC 神龙大模型

漏洞描述信息

jadx是一个Dex到Java的反编译器。在1.5.0版本之前，包名在连接之前没有过滤。这可以被利用来将任意代码注入包名中。这个漏洞允许攻击者以shell权限执行命令。版本1.5.0包含了针对这个漏洞的修补程序。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

来源：AIGC 神龙大模型

漏洞类别

对生成代码的控制不恰当(代码注入)

来源：AIGC 神龙大模型

漏洞标题

Insufficient input filtering of "package name" allows command execution in the device with shell privileges

来源：美国国家漏洞数据库 NVD

漏洞描述信息

jadx is a Dex to Java decompiler. Prior to version 1.5.0, the package name is not filtered before concatenation. This can be exploited to inject arbitrary code into the package name. The vulnerability allows an attacker to execute commands with shell privileges. Version 1.5.0 contains a patch for the vulnerability.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:H

来源：美国国家漏洞数据库 NVD

漏洞类别

输入验证不恰当

来源：美国国家漏洞数据库 NVD

漏洞标题

Skylot Jadx 安全漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Skylot Jadx是一个 Dex 到 Java 反编译器。 Skylot Jadx 1.5.0之前版本存在安全漏洞，该漏洞源于对package name的输入过滤不足，导致攻击者可以在具有shell权限的设备中执行命令。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

其他

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2024-32653 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2024-32653 的情报信息

https://github.com/skylot/jadx/releases/tag/v1.5.0 x_refsource_MISC
https://github.com/skylot/jadx/security/advisories/GHSA-3pp3-hg2q-9gpm x_refsource_CONFIRM
https://github.com/skylot/jadx/blob/9114821fb12558874e01421bf38b0d34fb39df72/jadx-gui/src/main/java/jadx/gui/device/protocol/ADBDevice.java#L108-L109 x_refsource_MISC
https://nvd.nist.gov/vuln/detail/CVE-2024-32653

一、 漏洞 CVE-2024-32653 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2024-32653 的公开POC

三、漏洞 CVE-2024-32653 的情报信息

一、漏洞 CVE-2024-32653 基础信息