Trusted Design

CVE-2025-48595 の詳細

CVEの情報

説明:
In multiple locations, there is a possible way to achieve code execution due to an integer overflow. This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is not needed for exploitation.

CVE更新日: 2026-06-01 22:16:18.093000

CVSSバージョン: 3.1

CVSSスコア: 8.4

KEVの情報

KEV更新日: 2026-06-02

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.017140000

EPSS更新日: 2026-07-17 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: high

Automatable: False

AIを使った解説

解説:

1. 脆弱性の概要

CVE-2025-48595 は Android(Google / Open Handset Alliance) に存在する 整数オーバーフロー(integer overflow) に起因する脆弱性。

複数箇所で整数オーバーフローが発生し、ローカル環境でのコード実行(任意コード実行) が可能となり、追加権限なしでローカル権限昇格(Local Elevation of Privilege) が発生する。 ユーザー操作は不要。

1.1 影響

  • ローカル攻撃者が 任意コード実行 を行い、追加権限なしで権限昇格が可能。
  • ユーザー操作不要(UI:N)。
  • 実際の攻撃では デバイス制御の奪取、システムリソースアクセス が可能と報告されている。

1.2 深刻度

  • CVSS:8.4(High)
  • 公開日:2026-06-01
  • CISA KEV に登録済み(悪用確認あり)。

2. 対象となる環境

2.1 影響を受ける OS バージョン

Android プラットフォームの以下のバージョンが影響を受ける:

  • Android 14
  • Android 15
  • Android 16
  • Android 16 QPR2

2.2 影響を受ける設定

  • ローカル環境での攻撃が可能な状態
    (悪意あるアプリ・スクリプトが実行可能な環境)

  • 特定の設定依存の記述はなし(不明)。
    → Android Framework 内の整数オーバーフローが原因のため、設定依存ではなく OS バージョン依存。

3. 影響を受けた時の兆候

  • 公開情報に 兆候(IoC)に関する記述はなし。

  • ただし、実際の攻撃では以下が起こり得る(事実ベースの報告):
    権限昇格後に デバイス制御の奪取

  • データアクセス、監視、持続化 などの攻撃チェーンに利用される可能性がある

4. 推奨対策

4.1 本対策(恒久対策)

  • 2026-06-05 Android セキュリティパッチレベルの適用
    → Google により本脆弱性を修正するパッチが提供済み。

4.2 暫定回避策(緩和策)

Android 公式による暫定回避策は 未提供(不明)。
ただし、事実ベースで有効とされる一般的緩和策:

  • Google Play Protect を有効化(デフォルトで有効)
    → 悪意あるアプリの検出を強化。

  • サードパーティ APK の sideload を避ける
    → 実際の攻撃は sideload 経由で行われる可能性が高いと報告。

  • OEM の最新アップデートを適用し、未更新デバイスを隔離

5. その他補足すべき観点

5.1 悪用状況

  • 実際に限定的な攻撃で悪用が確認されている(0-day)
  • CISA KEV に登録済み(既知の悪用あり)

NVDサイト

NVDでCVEの詳細を見る

戻る