Уязвимые версии: <=3.9.7

Тип ошибки:

• CWE-918: Server-Side Request Forgery (SSRF)

Вектор уязвимости:

• Базовый вектор уязвимости (CVSSv3.1): CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L
• Уровень критичности уязвимости (CVSSv3.1): 6.3 (medium)
• Базовый вектор уязвимости (CVSSv4.0): CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:L/VI:L/VA:L/SC:L/SI:L/SA:L
• Уровень критичности уязвимости (CVSSv4.0): 5.3 (medium)

Описание уязвимости: 

В Mobile Security Framework (MobSF) была выявлена проблема, затрагивающая версии до 3.9.7 включительно.

Обнаруженная уязвимость SSRF в компоненте Firebase Database Check может быть использована злоумышленником для установки соединения сервером только с внутренними сервисами. В случае загрузки вредоносного приложения в Static analyzer злоумышленник сможет выполнять внутренние запросы.

Статус уязвимости: Подтверждена производителем

Дата исправления уязвимости: 04.04.2024

Рекомендации:

• Обновление до версии 3.9.8 или выше

Прочая информация: Бюллетень по безопасности

Исследователь: Олег Сурнин (Positive Technologies)