CVE Details - Red Hot Cyber
Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Cerca
UtiliaCS 970x120
320×100

CVE-2021-0920

Consulta le ultime CVE critiche emesse
Questo è un servizio gratuito offerto da Red Hot Cyber alla comunità. Consente di consultare, in un’unica pagina, le informazioni relativa ad una singola CVE provenienti dal National Vulnerability Database (NVD) e del National Institute of Standards and Technology (NIST) degli Stati Uniti d’America, del Forum of Incident Response and Security Teams (FIRST) per quanto riguarda l’EPSS score e il percentile, i dati del catalogo KEV del Cybersecurity and Infrastructure Security Agency (CISA), oltre a risorse selezionate di Red Hot Cyber e altre fonti internazionali.

National Vulnerability Database Information

Descrizione: In unix_scm_to_skb of af_unix.c, there is a possible use after free bug due to a race condition. This could lead to local escalation of privilege with System execution privileges needed. User interaction is not needed for exploitation.Product: AndroidVersions: Android kernelAndroid ID: A-196926917References: Upstream kernel

Base Score CVSS: 6.4 (v3.1)

Il **Base Score CVSS** è un punteggio da **0 a 10** che rappresenta la gravità intrinseca di una vulnerabilità. Un punteggio più alto indica una gravità maggiore.

Valore
0.02.55.07.510.0
Pubblicato il: 15/12/2021 19:15:11
Ultima modifica: 23/10/2025 14:53:26
NIST: Sorgente CVE dal National Vulnerability Database (NVD)

Metriche CVSS Dettagli

  • Base Severity: MEDIUM
  • Vector String: CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H
  • Attack Vector: LOCAL
  • Attack Complexity: HIGH
  • Privileges Required: HIGH
  • User Interaction: NONE
  • Scope: UNCHANGED
  • Confidentiality Impact: HIGH
  • Integrity Impact: HIGH
  • Availability Impact: HIGH

Common Weakness Enumeration (CWE)

Database CWE: v4.18

CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') ↗

The product contains a concurrent code sequence that requires temporary, exclusive access to a shared resource, but a timing window exists in which the shared resource can be modified by another code sequence operating concurrently.

CWE-416: Use After Free ↗

The product reuses or references memory after it has been freed. At some point afterward, the memory may be allocated again and saved in another pointer, while the original pointer references a location somewhere within the new allocation. Any operations using the original pointer are no longer valid because the memory "belongs" to the code that operates on the new pointer.

Fonte: MITRE CWE


FIRST information

EPSS Score: 0.0094

L'**EPSS (Exploit Prediction Scoring System)** è un punteggio da **0 a 1** che indica la **probabilità** che una vulnerabilità venga sfruttata nel mondo reale nei prossimi 30 giorni. Un valore più alto indica una maggiore probabilità di exploit.

Valore
0.00.250.50.751.0

Percentile: 0.7565

Il **Percentile** indica quanto il punteggio EPSS di questa vulnerabilità sia più alto rispetto a quello di tutte le altre vulnerabilità nel database EPSS. Ad esempio, un percentile di 0.90 (90%) significa che il 90% delle vulnerabilità ha un EPSS score uguale o inferiore a quello attuale.

Valore
0.00.250.50.751.0

*Dati aggiornati al: 2025-12-03


CISA Information (Known Exploited Vulnerabilities)

Il **CISA KEV Catalog** elenca le vulnerabilità che sono state **attivamente sfruttate nel mondo reale**. Se una CVE è presente in questo catalogo, indica che la minaccia è immediata e la mitigazione dovrebbe essere una priorità assoluta.

La CVE **CVE-2021-0920** **È PRESENTE** nel CISA KEV Catalog!

  • Nome della Vulnerabilità: Android Kernel Race Condition Vulnerability
  • Descrizione Breve: Android kernel contains a race condition, which allows for a use-after-free vulnerability. Exploitation can allow for privilege escalation.
  • Data Aggiunta al KEV: 23/05/2022
  • Vendor/Prodotto: Android / Kernel
  • Required Action: Apply updates per vendor instructions.
  • Due Date: 13/06/2022

Articoli pubblicati su Red Hot Cyber


Riferimenti NVD

Exploit PoC da GitHub

Nessun risultato trovato su GitHub per questa CVE.