Noticia Easy FTP Pro v4.2 para iOS: Bugs de Command Injection

En la lista Bugtraq se ha publicado información sobre un exploit de 0day para Easy FTP Pro versión 4.2 para iPhone e iPad, un popular cliente FTP y sFTP (Secure FTP) que podría ser atacado localmente para comprometer la app. Se han publicado las pruebas de concepto en el informe realizado. Son dos vulnerabilidades de Command Injection que permitirían ejecutar comandos en el contexto de la app y podría ser utilizado por usuarios poco privilegiados para conseguir una elevación de privilegios.

Es decir, tendría especial significancia en el entorno de Jailbreak, pero en un entorno sin Jailbreak, parece poco probable una explotación con éxito.


Figura 1: Reportes publicados en Bugtraq

Easy FTP Pro aún no ha sido actualizado y sigue teniendo estos fallos, por lo que parece que no ha tenido ningún impacto en la seguridad de lo usuarios, pese a la validación CVSS de 5.7 que asignan a los bugs.

Publicado en Seguridad Apple - Google+ - RSS - Eleven Paths



Continúar leyendo...