CVE-2025-48595 の詳細
CVEの情報
説明:
In multiple locations, there is a possible way to achieve code execution due to an integer overflow. This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is not needed for exploitation.
CVE更新日: 2026-06-01 22:16:18.093000
CVSSバージョン: 3.1
CVSSスコア: 8.4
KEVの情報
KEV更新日: 2026-06-02
EPSSの情報
EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。
EPSSスコア: 0.017140000
EPSS更新日: 2026-07-17 00:00:00
SSVCの情報
SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。
Exploitation: active
Technical Impact: high
Automatable: False
1. 脆弱性の概要
CVE-2025-48595 は Android(Google / Open Handset Alliance) に存在する 整数オーバーフロー(integer overflow) に起因する脆弱性。
複数箇所で整数オーバーフローが発生し、ローカル環境でのコード実行(任意コード実行) が可能となり、追加権限なしでローカル権限昇格(Local Elevation of Privilege) が発生する。 ユーザー操作は不要。
1.1 影響
1.2 深刻度
2. 対象となる環境
2.1 影響を受ける OS バージョン
Android プラットフォームの以下のバージョンが影響を受ける:
2.2 影響を受ける設定
ローカル環境での攻撃が可能な状態
(悪意あるアプリ・スクリプトが実行可能な環境)
特定の設定依存の記述はなし(不明)。
→ Android Framework 内の整数オーバーフローが原因のため、設定依存ではなく OS バージョン依存。
3. 影響を受けた時の兆候
公開情報に 兆候(IoC)に関する記述はなし。
ただし、実際の攻撃では以下が起こり得る(事実ベースの報告):
権限昇格後に デバイス制御の奪取
データアクセス、監視、持続化 などの攻撃チェーンに利用される可能性がある
4. 推奨対策
4.1 本対策(恒久対策)
→ Google により本脆弱性を修正するパッチが提供済み。
4.2 暫定回避策(緩和策)
Android 公式による暫定回避策は 未提供(不明)。
ただし、事実ベースで有効とされる一般的緩和策:
Google Play Protect を有効化(デフォルトで有効)
→ 悪意あるアプリの検出を強化。
サードパーティ APK の sideload を避ける
→ 実際の攻撃は sideload 経由で行われる可能性が高いと報告。
OEM の最新アップデートを適用し、未更新デバイスを隔離
5. その他補足すべき観点
5.1 悪用状況