Производитель был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление ПО. Чтобы устранить ошибку, следует в кратчайшие сроки обновить приложение до версии 5.18 или выше. Эксперт Positive Technologies также напомнил, что приложения для смартфонов важно скачивать только из официальных магазинов: это снизит риск утечки персональных данных и других неблагоприятных последствий.
Это не первая подобная ошибка, обнаруженная экспертами Positive Technologies. В мае 2025 года руководитель группы экспертизы отдела анализа защищенности веб-приложений Алексей Соловьев и специалист группы проектов этого отдела Ян Чижевский помогли разработчику закрыть множественные ошибки в отечественной системе управления сайтами NetCat CMS, среди которых также была уязвимость, позволяющая выполнить внедрение SQL-кода (BDU:2024-06394). Ранее, летом 2024 года, Соловьев выявил подобные дефекты безопасности и в системах мониторинга инфраструктуры Pandora FMS (CVE-2023-44090 и CVE-2023-44091) и Cacti — CVE-2023-49085 (BDU:2024-01113). Эксплуатация ошибок во всех трех продуктах потенциально была звеном в цепочке атаки, которая могла бы привести к выполнению произвольного кода на сервере.
Обнаруживать ошибки, связанные с внедрением SQL-кода, можно еще на стадии разработки продукта — с помощью статического анализатора кода, такого как PT Application Inspector.
Быть в курсе актуальных недостатков безопасности можно на портале dbugs, где аккумулируются данные об уязвимостях в ПО и оборудовании производителей со всего мира, а также рекомендации вендоров по их устранению.
