漏洞关键信息 漏洞概述 CVE: CVE-2023-5321 漏洞类型: CWE-862: Missing Authorization 严重性: Medium (5.1) 描述 在Build89版本的Inure应用中,发现了一个漏洞:应用中的一个导出活动(.activities.association.TextViewerActivity)通过file scheme和"text/" MIME类型接受intent数据,并通过提供的URI数据字符串打开相关文件。检查函数 设计不良,恶意应用可以通过发送意图并提供Inure应用私有目录(/data/data/app.simple.inure)内的文件路径,绕过验证,导致Inure应用打开任意文件。 影响 应用的私有目录和其中的文件不应被设备内的其他应用访问。报告的漏洞表明,恶意第三方应用可以利用此漏洞打开或查看Inure应用私有目录内的任意文件,因为接收到的intent数据字符串缺乏验证。 发生情况 文件: TextViewerActivity.kt#L31 问题代码: 攻击者仍可绕过验证,使用"data//data"。 参考 相关Huntr报告 修复情况 修复者: Hamza Rizwan 修复版本**: build94