Множественные уязвимости в Smartphone Pentest Framework (SPF)

Описание:
Обнаруженные уязвимости позволят удаленному пользователю получить доступ к важным данным, произвести CSRF нападение, выполнить произвольные SQL команды в базе данных приложения и скомпрометировать целевую систему.

1. Уязвимость существует из-за наличия небезопасных привилегий на доступ к файлам приложения. Локальный пользователь может перезаписать произвольные файлы приложения и повысить свои привилегии на системе.

2. Уязвимость существует из-за недостаточной обработки входных данных в различных сценариях в каталоге "/frameworkgui/". Удаленный пользователь может выполнить произвольные SQL команды в базе данных приложения.

3. Уязвимость существует из-за недостаточной обработки входных данных перед вызовом функции system() в сценариях remoteAttack.pl, CSAttack.pl, SEAttack.pl, attach2agents.pl, attachMobileModem.pl и guessPassword.pl. Удаленный пользователь может с помощью специально сформированного HTTP запроса выполнить произвольные команды на системе.

4. Уязвимость существует из-за недостаточной проверки подлинности HTTP запросов при выполнении некоторых действий. Удаленный пользователь может произвести CSRF нападение и получит получить полный контроль над приложением и скомпрометировать целевую систему.

5. Уязвимость существует из-за недостаточного ограничения доступа к файлу /frameworkgui/config. Удаленный пользователь может напрямую обратиться к файлу и получить доступ к потенциально важным данным (например, узнать учетные данные для подключения к базе данных приложения).

URL производителя: www.bulbsecurity.com/smartphone-pentest-framework/

Решение: Установите последнюю версию 0.1.2 с сайта производителя.