Aplikacja Maru Neo (MaruNuri LLC) w wersji v2.0.23 zawiera krytyczną podatność umożliwiającą dowolne nadpisanie plików. Atakujący może nadpisać kluczowe pliki wewnętrzne aplikacji poprzez mechanizm importu plików, co prowadzi do wykonania dowolnego kodu lub ujawnienia informacji.
▸ Pokaż oryginał (EN)
An arbitrary file overwrite vulnerability in MaruNuri LLC v2.0.23 allows attackers to overwrite critical internal files via the file import process, leading to arbitrary code execution or information exposure.
Podatność sklasyfikowana jako CWE-73 (External Control of File Name or Path) polega na braku odpowiedniej walidacji nazw lub ścieżek plików podczas procesu ich importowania. Atakujący może dostarczyć specjalnie spreparowany plik, którego nazwa lub ścieżka wskazuje na krytyczne pliki wewnętrzne aplikacji. W wyniku tego mechanizm importu nadpisuje te pliki kontrolowaną przez atakującego zawartością, co może skutkować wykonaniem arbitralnego kodu lub ujawnieniem wrażliwych danych.
Atakujący może doprowadzić do wykonania dowolnego kodu (RCE) w kontekście aplikacji lub ujawnić wrażliwe informacje przetwarzane przez aplikację. Wysoki wpływ na poufność, integralność i dostępność systemu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się monitorowanie dostępności aktualizacji na stronie producenta (maru.xyz) oraz w sklepie Google Play. Do czasu pojawienia się poprawki należy rozważyć ograniczenie możliwości importu plików przez niezaufanych użytkowników.
Aplikacja Maru Neo (neo.maru) firmy MaruNuri LLC w wersji v2.0.23
Podatność została zgłoszona za pośrednictwem repozytorium GitHub grupy Secsys z Fudan University (secsys.fudan.edu.cn). Aplikacja Maru Neo jest dostępna w sklepie Google Play.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HMaru Neo.maru
APPMaru2.0.23