БДУ - Уязвимости

BDU:2021-02854: Уязвимость модуля omp-appmanager мобильных приложений из состава прикладного программного обеспечения «Аврора Центр», связанная с недостатками разграничения доступа изолированной среды, позволяющая нарушителю выполнять установку или удаление мобильных приложений

Основная информация
Подробнее

Описание уязвимости

Уязвимость модуля omp-appmanager мобильных приложений из состава прикладного программного обеспечения «Аврора Центр» связана с предоставлением непривилегированным учетным записям привилегированного API для установки и удаления приложений. Эксплуатация уязвимости может позволить нарушителю, получившему доступ к API модуля, выполнять в контексте привилегированного процесса установку или удаление мобильных приложений.

Вендор

ООО «Открытая мобильная платформа»

Наименование ПО

Аврора Центр (запись в едином реестре российских программ №6875)

Версия ПО

от 2.1.3 до 2.4.0 включительно

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Открытая мобильная платформа» ОС Аврора - (запись в едином реестре российских программ №1543)

Тип ошибки

Вопросы привилегий/песочницы

Идентификатор типа ошибки

CWE-265

Класс уязвимости

Уязвимость архитектуры

Дата выявления

19.03.2021

Базовый вектор уязвимости

CVSS 2.0: AV:L/AC:H/Au:S/C:N/I:C/A:C

CVSS 3.0: AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:H/A:H

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,3)

Возможные меры по устранению уязвимости

Обновление программного обеспечения до версии 2.5.0 и выше или исключить использование мобильных приложений из недоверенных источников

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Способ эксплуатации

Подмена при взаимодействии

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Ссылки на источники

Данные уточняются

Идентификаторы других систем описаний уязвимостей

Данные уточняются

Прочая информация

Данные уточняются

Последние изменения

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

Описание уязвимости

Вендор

Наименование ПО

Версия ПО

Тип ПО

Операционные системы и аппаратные платформы

Тип ошибки

Идентификатор типа ошибки

Класс уязвимости

Дата выявления

Базовый вектор уязвимости

Уровень опасности уязвимости

Возможные меры по устранению уязвимости

Статус уязвимости

Наличие эксплойта

Способ эксплуатации

Способ устранения

Информация об устранении

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

Прочая информация