Összefoglaló
Az OYO File Manager mobil alkalmazás több súlyos sérülékenységet tartalmaz.
Leírás
Az egyik biztonsági rés egy fájlkezelési rendellenességre vezethető vissza, amely különféle állományok manipulálására adhat módot. Az upload(GCDWebUploader) esetében a fájlnevek ellenőrzése nem kellően erős.
A második hiba parancsok végrehajtására adhat módot az index modulban használatos devicename paraméter manipulálásával.
A harmadik sebezhetőség pedig directory traversal típusú támadásokat segíthet elő egyes interfész modulok esetében.
A fenti sérülékenységek az iOS és az Android kompatibilis kiadásokat is érintik.
Megoldás
A bemeneti paraméterek ellenőrzésének megerősítése.
Támadás típusa
Manipulation of dataSecurity bypass (Biztonsági szabályok megkerülése)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Egyéb referencia: www.vulnerability-lab.com