CRITICAL🇬🇧 English

CVE-2025-65820

Ujawnienie informacji o nieopublikowanych urządzeniach w aplikacji Meatmeet Android

CVSS 9.8v3.1pub. 2025-12-10upd. 2025-12-17

Aplikacja mobilna Meatmeet na Android w wersji 1.1.2.0 zawiera podatność umożliwiającą nieuprawniony dostęp do ukrytej strony z informacjami o nieopublikowanych urządzeniach. Atakujący może uzyskać wgląd w nieupublicznione produkty firmy Meatmeet, co stanowi zagrożenie dla poufności danych przedkomercyjnych.

Pokaż oryginał (EN)

An issue was discovered in Meatmeet Android Mobile Application 1.1.2.0. An exported activity can be spawned with the mobile application which opens a hidden page. This page, which is not available through the normal flows of the application, contains several devices which can be added to your account, two of which have not been publicly released. As a result of this vulnerability, the attacker can gain insight into unreleased Meatmeet devices.

🤖 Analiza AI
Jak działa

Aplikacja eksportuje activity systemu Android w sposób dostępny dla zewnętrznych aplikacji bez odpowiednich ograniczeń uprawnień. Atakujący może bezpośrednio uruchomić (spawn) to activity z poziomu innej aplikacji lub za pomocą narzędzi ADB, omijając normalne przepływy nawigacyjne aplikacji. Uruchomienie tego activity otwiera ukrytą stronę, która nie jest dostępna poprzez standardowy interfejs użytkownika, a która zawiera listę urządzeń możliwych do dodania do konta — w tym dwa urządzenia jeszcze nieogłoszone publicznie.

Skutki

Atakujący może uzyskać dostęp do poufnych informacji handlowych dotyczących nieopublikowanych urządzeń Meatmeet, co może prowadzić do ujawnienia planów produktowych firmy przed ich oficjalną premierą.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Producent powinien ograniczyć eksportowanie podatnego activity poprzez ustawienie atrybutu android:exported="false" lub wprowadzenie odpowiednich uprawnień (permission) chroniących dostęp do tego komponentu.

Kogo dotyczy

Meatmeet Android Mobile Application w wersji 1.1.2.0

Uwagi

Podatność została opisana przez badacza działającego pod pseudonimem 'dead1nfluence', który opublikował szczegółowy opis techniczny w serwisie GitHub. Przypisana ocena CVSS 9.8 (CRITICAL) wydaje się zawyżona względem faktycznego wpływu opisanego w raporcie, który ogranicza się do ujawnienia informacji o nieopublikowanych urządzeniach (CWE-200) bez wskazania możliwości przejęcia konta czy wykonania kodu.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Meatmeet

    APP
    Meatmeet
    1.1.2.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-65826CRITICAL9.8PL ✓ten sam produkt

Hardcoded credentials w aplikacji mobilnej Meatmeet

CVE-2025-65827CRITICAL9.1PL ✓ten sam produkt

Meatmeet – transmisja danych w czystym tekście (HTTP), przechwycenie tokenów uwierzytelniania

CVE-2025-65830CRITICAL9.1PL ✓ten sam produkt

Brak walidacji certyfikatu TLS w aplikacji mobilnej Meatmeet

CVE-2025-65831HIGH7.5ten sam produkt

The application uses an insecure hashing algorithm (MD5) to hash passwords. If an attacker obtained a copy of ...

CVE-2025-65832MEDIUM4.6ten sam produkt

The mobile application insecurely handles information stored within memory. By performing a memory dump on the...