中兴通讯一款手机存在访问控制错误漏洞

初始发布日期:2021430

 

CVE 编号

CVE-2021-21732

 

CVSS 3.1 基础得分

4.7 中危 (AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:N/A:N)

 

漏洞描述

中兴通讯一款手机存在访问控制错误漏洞。由于权限设置不当,第三方应用未经授权即可读取proc文件系统下的部分文件,攻击者可利用该漏洞获取敏感信息。

 

影响和修复

产品名称

受影响版本号

修复版本号

Axon 11 5G

ZTE/CN_P725A12/P725A12:10/QKQ1.200816.002

/20201116.175317:user/release-keys

2021.5.1之后发布的版本均修复了该漏洞

 

致谢

中兴通讯感谢字节跳动无恒实验室的安全研究员张清对我们产品的关注并与我们协同披露漏洞。

 

更新记录

2021430日,初始发布

 

支持团队的联系方式

1. ZTE全球客户支持中心热线:

0755-26770800

800-830-1118

400-830-1118

2. 登录中兴通讯技术支持网站的产品论坛提交问题

 

中兴通讯PSIRT

如果您需要反馈中兴通讯产品的漏洞、获取中兴通讯公司产品安全事件响应服务及获取中兴通讯产品漏洞信息,请联系中兴通讯产品安全事件响应组(ZTE PSIRT):psirt@zte.com.cnPGP Key ID:FF095577。