iFunbox 4.2 содержит уязвимость в пути к службе Apple Mobile Device Service, которая позволяет локальным злоумышленникам выполнять код с повышенными привилегиями. Злоумышленники могут вставить вредоносный исполняемый файл в путь службы без кавычек, чтобы он запускался с привилегиями LocalSystem при перезапуске службы.
Показать оригинальное описание (английский)
iFunbox 4.2 contains an unquoted service path vulnerability in the Apple Mobile Device Service that allows local attackers to execute code with elevated privileges. Attackers can insert a malicious executable into the unquoted service path to run with LocalSystem privileges when the service restarts.
Матрица атаки
Вектор атаки
Локальный
Локальный доступ
Сложность атаки
Низкая
Легко эксплуатировать
Требуемые привилегии
Низкие
Нужны базовые права
Взаимодействие с пользователем
Не требуется
Не нужно действие пользователя
Влияние на конфиденциальность
Высокое
Полная утечка данных
Влияние на целостность
Высокое
Полная модификация
Влияние на доступность
Высокое
Полный отказ в обслуживании
СТРОКА CVSS ВЕКТОРА
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H