Menú principal

lunes, 25 de agosto de 2014

Easy FTP Pro v4.2 para iOS: Bugs de Command Injection

En la lista Bugtraq se ha publicado información sobre un exploit de 0day para Easy FTP Pro versión 4.2 para iPhone e iPad, un popular cliente FTP y sFTP (Secure FTP) que podría ser atacado localmente para comprometer la app. Se han publicado las pruebas de concepto en el informe realizado. Son dos vulnerabilidades de Command Injection que permitirían ejecutar comandos en el contexto de la app y podría ser utilizado por usuarios poco privilegiados para conseguir una elevación de privilegios.

Es decir, tendría especial significancia en el entorno de Jailbreak, pero en un entorno sin Jailbreak, parece poco probable una explotación con éxito.

Figura 1: Reportes publicados en Bugtraq

Easy FTP Pro aún no ha sido actualizado y sigue teniendo estos fallos, por lo que parece que no ha tenido ningún impacto en la seguridad de lo usuarios, pese a la validación CVSS de 5.7 que asignan a los bugs.

No hay comentarios:

Publicar un comentario en la entrada

Entrada destacada

Vente al "Security Innovation Day 2016: Let Security Be"

El Security Innovation Day es el evento desde el que Telefónica y ElevenPaths comparten los últimos lanzamientos y novedades en innovació...

Otras historias relacionadas

Entradas populares