CRITICAL🇬🇧 English

CVE-2025-59403

Brak uwierzytelnienia w aplikacji Flock Safety Collins — RCE i DoS

CVSS 9.8v3.1pub. 2025-10-02upd. 2025-11-24

Aplikacja Flock Safety Android Collins (com.flocksafety.android.collins) w wersji 6.35.31 udostępnia administracyjne punkty końcowe API na porcie 8080 bez jakiegokolwiek uwierzytelnienia. Podatność umożliwia atakującemu w tej samej sieci LAN/WLAN m.in. zdalne wykonanie kodu (RCE), wywołanie odmowy usługi (DoS) oraz ujawnienie poufnych informacji.

Pokaż oryginał (EN)

The Flock Safety Android Collins application (aka com.flocksafety.android.collins) 6.35.31 for Android lacks authentication. It is responsible for the camera feed on Falcon, Sparrow, and Bravo devices, but exposes administrative API endpoints on port 8080 without authentication. Endpoints include but are not limited to: /reboot, /logs, /crashpack, and /adb/enable. This results in multiple impacts including denial of service (DoS) via /reboot, information disclosure via /logs, and remote code execution (RCE) via /adb/enable. The latter specifically results in adb being started over TCP without debugging confirmation, providing an attacker in the LAN/WLAN with shell access.

🤖 Analiza AI
Jak działa

Aplikacja Collins, odpowiedzialna za obsługę strumienia wideo kamer Falcon, Sparrow i Bravo, eksponuje szereg administracyjnych endpoint'ów HTTP na porcie 8080 bez wymogu uwierzytelnienia. Endpoint /reboot pozwala na zdalne ponowne uruchomienie urządzenia (DoS), endpoint /logs ujawnia dane diagnostyczne (information disclosure), natomiast endpoint /adb/enable uruchamia Android Debug Bridge (ADB) po TCP bez potwierdzenia trybu debugowania. Atakujący znajdujący się w zasięgu sieci LAN lub WLAN może w ten sposób uzyskać pełny dostęp do powłoki systemowej urządzenia bez żadnych poświadczeń.

Skutki

Atakujący w sieci lokalnej może przejąć pełną kontrolę nad urządzeniem poprzez RCE z dostępem do powłoki (shell), wyłączyć kamerę przez DoS, a także pozyskać poufne dane z logów systemowych i pakietów diagnostycznych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu aktualizacji zaleca się izolację sieciową urządzeń Flock Safety (segmentacja sieci, firewall) tak, aby port 8080 nie był dostępny dla nieuprawnionych klientów w sieci LAN/WLAN.

Kogo dotyczy

Flock Safety Android Collins (com.flocksafety.android.collins) w wersji 6.35.31, obsługujący urządzenia kamer Flock Safety Falcon, Sparrow i Bravo

Uwagi

Podatność została szczegółowo opisana przez badaczy z GainSec w publikacjach z dnia 27 września 2025 r., dostępnych pod adresami wskazanymi w referencjach. Atak wymaga dostępu do tej samej sieci LAN lub WLAN co podatne urządzenie.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Flocksafety Flock Safety

    APP
    Flocksafety
    6.35.31
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEDoS
CWE
Referencje

Powiązane podatności

CVE-2025-59407CRITICAL9.8PL ✓ten sam produkt

Hardcoded hasło do Java Keystore w aplikacji Flock Safety na Android

CVE-2025-59405HIGH7.5ten sam produkt

The Flock Safety Peripheral com.flocksafety.android.peripheral application 7.38.3 for Android (installed on Fa...

CVE-2025-59406MEDIUM6.2ten sam produkt

The Flock Safety Pisco com.flocksafety.android.pisco application 6.21.11 for Android (installed on Falcon and ...

CVE-2025-59409HIGH7.5ten sam vendor

Flock Safety Falcon and Sparrow License Plate Readers OPM1.171019.026 ship with development Wi-Fi credentials ...

CVE-2025-59404HIGH7.5ten sam vendor

Flock Safety Bravo Edge AI Compute Device BRAVO_00.00_local_20241017 ships with its bootloader unlocked. This ...