某單位 Android App 內建過期 libavif 原生解碼器,受 CVE-2025-48174 影響 - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2026-00709
  • Title: 某單位 Android App 內建過期 libavif 原生解碼器,受 CVE-2025-48174 影響
  • Introduction: *Android App 8.220.0 內建的 libavif_android.so 與 upstream avif 1.1.1.14d8e3c4 完全相同,低於修補 CVE-2025-48174 的 1.3.0,且該原生解碼器已接入 Glide 圖片載入流程。

處理狀態

目前狀態

審核未通過
Last Update : 2026/06/02
  • 新提交
  • 審核未通過
  • 未通報
  • 未修補
  • 未複測
  • 公開

處理歷程

  • 2026/05/18 15:55:57 : 新提交 (由 monkey47 更新此狀態)
  • 2026/05/20 13:30:41 : 審核中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2026/05/21 13:27:37 : 修補中 (由 組織帳號 更新此狀態)
  • 2026/05/26 17:14:38 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2026/06/02 17:36:34 : 審核未通過 (由 HITCON ZeroDay 服務團隊 更新此狀態)

詳細資料

  • ZDID:ZD-2026-00709
  • 通報者:davidyen1124 (monkey47)
  • 風險:高
  • 類型:使用已知含漏洞之元件 (Using Known Vulnerable Components)

留言討論

;