iOS アプリ「File Manager」におけるクロスサイトスクリプティングの脆弱性(Scan Tech Report)
LTD DevelSoftware が提供する iOS アプリ「File Manager」には、クロスサイトスクリプティングの脆弱性が存在します。
脆弱性と脅威
エクスプロイト
LTD DevelSoftware が提供する iOS アプリ「File Manager」には、クロスサイトスクリプティングの脆弱性が存在します。当該脆弱性を悪用されると、FileManager の Web 管理インターフェース上に偽の情報を表示されたり、意図的に表示崩れを引き起こし一時的に Web 管理インターフェースを使用不能にされたりする可能性があります。
2.深刻度(CVSS)
2.9
http://nvd.nist.gov/cvss.cfm?version=2&vector=(AV:A/AC:M/AU:N/C:N/I:P/A:N)
※ CVE-ID 未割り当てのため、上記は筆者の評価
3.影響を受けるソフトウェア
File Manager 4.2.10 およびそれ以前のバージョン
File Manager Pro 4.2.10 およびそれ以前のバージョン
4.解説
iOS アプリ「File Manager」(*1) は、LTD DevelSoftware が提供する、ファイル管理ソフトです。File Manager の Web 管理インターフェースには、埋め込み型のクロスサイトスクリプティングの脆弱性が存在します。
File Manager の WiFi Transfer 機能を有効にしている状態で、細工したリクエストを受信した場合に、Web 管理インターフェース上に任意の JavaScriptが埋め込まれる可能性があります。JavaScript が実行された結果、Web 管理インターフェース上に偽の情報を表示させたり、意図的に表示崩れを引き起こし一時的に Web 管理インターフェースを使用不能にされたりする可能性があります。
WiFi Transfer 機能は、同一の無線 LAN アクセスポイントに接続している機器において、ファイルの共有や編集を可能にするものです。Web ブラウザからウェブ管理インターフェースへアクセスし、ファイルのアップロードやダウンロード、フォルダの作成などの操作ができます。HTML における特殊文字のエスケープ処理に不備があり、細工したフォルダを作成すると、そのフォルダに含まれる特定の文字列が JavaScript として実行されます。なお、当該フォルダを削除しない限り、JavaScript は埋め込まれたままとなります。
現時点では本脆弱性の対策を施したバージョンは公開されていませんが、本脆弱性の再現条件として、攻撃者は攻撃対象の iOS 端末と同一の無線 LAN アクセスポイントに接続している必要があり、さらに iOS 端末のユーザは FileManager の WiFi Transfer 機能を有効にしている必要があるため、ただちに悪用される脆弱性ではありません。対策バージョンが公開されるまでは、信頼できない Wi-Fi 環境において WiFi Transfer 機能を利用しないことをお勧めします。
(*1): https://itunes.apple.com/de/app/file-manager-pro-manage-your/id926125881
https://itunes.apple.com/de/app/file-manager-manage-your-cloud/id926125877
5.対策
執筆時点(10/27)では対策バージョンが公開されていません。対策バージョンが公開された場合は、App Store からアップデートが可能です。信頼できないWi-Fi 環境で File Manager の WiFi Transfer 機能を有効にしないことで、攻撃を回避することが可能です。
6.ソースコード
(Web非公開)
(執筆:株式会社ラック サイバー・グリッド研究所)
※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録(有料)下さい。
Scan Tech Report
http://scan.netsecurity.ne.jp/archives/51916302.html
ソース・関連リンク
関連記事
Scan PREMIUM 会員限定記事
もっと見る-
-
Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)
2024 年 1 月に公開された、任意のファイルの読み取りが可能となる Jenkins の脆弱性に対するエクスプロイトコードが公開されています。
-
今日もどこかで情報漏えい 第22回「2024年2月の情報漏えい」プロモーションではなかった 公式 X への攻撃
2 月に最も件数換算の被害規模が大きかったのは、株式会社大藤つり具による「大藤つり具にランサムウェア攻撃、過去にダイレクトメールを送付した顧客情報が流出した可能性」の最大 約20 万件だった。
-
人かAIか? 生成方法別フィッシングメール打率比較
類似の実験では「見分けがつかない」「成功率が高い」といった結果にとどまっていることが多いが、この論文では AI 作成フィッシングメールの「品質評価」、人力と AI 作成メールに対して AI がどの程度、真贋や意図を判定できるかにまで踏み込んで調べた。