CVE-2026-5452 CVSS 3.3 低危

CVE-2026-5452 UCC CampusConnect硬编码密钥漏洞

披露日期: 2026-04-03

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-5452

漏洞类型

硬编码密钥

CVSS评分

3.3 低危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

UCC CampusConnect App

漏洞概述

UCC CampusConnect App（Android平台）在14.3.5及之前版本中存在严重的硬编码密钥漏洞。该漏洞源于`campusconnect/BuildConfig.java`文件中错误地使用了硬编码的加密密钥。本地攻击者可无需用户交互即可利用此漏洞，从而提取密钥并可能解密应用内的敏感数据，对机密性造成低等程度影响。

技术细节

该漏洞属于不安全的存储问题，核心原因在于开发人员将敏感的加密密钥硬编码在了源代码`BuildConfig.java`中。在Android生态中，APK文件极易被反编译。攻击者首先需获取受影响版本的APK文件，利用JADX或Apktool等工具进行静态分析。通过反编译代码，攻击者可直接定位到`campusconnect/BuildConfig.java`路径，读取其中定义的静态字符串常量，从而获得加密密钥。由于CVSS向量为AV:L，攻击者需要具备本地低权限访问能力。一旦密钥泄露，攻击者可利用其解密应用本地存储的敏感数据（如用户凭证、配置信息），甚至可能利用该密钥与服务器进行伪造通信，进一步扩大攻击面。

攻击链分析

STEP 1

信息收集

攻击者确认目标设备上安装了UCC CampusConnect App 14.3.5或更早版本。

STEP 2

获取与反编译

攻击者获取APK安装包文件，并使用JADX或Apktool等工具对APK进行反编译，还原源代码结构。

STEP 3

定位漏洞代码

攻击者搜索并定位到`campusconnect/BuildConfig.java`文件。

STEP 4

提取密钥

读取该文件中定义的静态常量（如`CRYPTO_KEY`），成功获取硬编码的加密密钥。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

package campusconnect.ucc;

public final class BuildConfig {
    // Hard-coded cryptographic key vulnerability
    public static final String CRYPTO_KEY = "Sup3rS3cr3tK3y!@#";
}

// Attacker Exploit Logic (Conceptual)
public class Exploit {
    public static void main(String[] args) {
        // After decompiling the APK, the attacker reads the constant
        String leakedKey = BuildConfig.CRYPTO_KEY;
        System.out.println("[+] Extracted Key: " + leakedKey);
    }
}

影响范围

UCC CampusConnect App <= 14.3.5

防御指南

临时缓解措施

建议用户立即停止在受影响版本中输入敏感信息。开发者应更新代码，将硬编码密钥替换为从安全配置服务获取或通过Android Keystore管理的密钥，并强制用户更新到修复版本。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表