Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-03055

Опубликовано: 02 апр. 2024
Источник: fstec
CVSS3: 6.3
CVSS2: 7.5
EPSS Низкий

Описание

Уязвимость компонента Firebase Database Check фреймворка для исследования безопасности мобильных приложений Mobile Security Framework (MobSF) связана с недостаточной проверкой поступающих запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить SSRF-атаку

Вендор

OPENSECURITY

Наименование ПО

Mobile Security Framework (MobSF)

Версия ПО

до 3.9.8 (Mobile Security Framework (MobSF))

Тип ПО

Программное средство защиты

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,3)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удалённого доступа;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций:
https://github.com/MobSF/Mobile-Security-Framework-MobSF/security/advisories/GHSA-wpff-wm84-x5cx

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 29%
0.00105
Низкий

6.3 Medium

CVSS3

7.5 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-31215

CVSS3: 6.3
nvd
почти 2 года назад

Mobile Security Framework (MobSF) is a security research platform for mobile applications in Android, iOS and Windows Mobile. A SSRF vulnerability in firebase database check logic. The attacker can cause the server to make a connection to internal-only services within the organization’s infrastructure. When a malicious app is uploaded to Static analyzer, it is possible to make internal requests. This vulnerability has been patched in version 3.9.8.

github логотип

GHSA-wpff-wm84-x5cx

CVSS3: 6.3
github
почти 2 года назад

Mobile Security Framework (MobSF) vulnerable to SSRF in firebase database check

EPSS

Процентиль: 29%
0.00105
Низкий

6.3 Medium

CVSS3

7.5 High

CVSS2