Plataforma
android
Componente
owlfiles
Corrigido em
12.0.2
A vulnerabilidade CVE-2022-50890 é um problema de Path Traversal descoberto no Owlfiles File Manager, afetando a versão 12.0.1–12.0.1 para dispositivos Android. Um atacante pode explorar essa falha para acessar diretórios sensíveis do sistema, comprometendo a integridade e confidencialidade dos dados armazenados. A correção oficial está pendente, sendo recomendadas medidas de mitigação temporárias.
A exploração bem-sucedida da vulnerabilidade de Path Traversal permite que um atacante contorne as restrições de acesso ao sistema de arquivos do Owlfiles File Manager. Ao injetar sequências de traversal de diretório em requisições HTTP (por exemplo, ../..), o atacante pode acessar arquivos e diretórios que normalmente estariam protegidos. Isso pode levar à exposição de informações confidenciais, como arquivos de configuração, dados de usuários e até mesmo código executável. O impacto potencial é alto, pois a vulnerabilidade pode ser explorada remotamente sem a necessidade de autenticação, permitindo o acesso não autorizado a dados críticos.
A vulnerabilidade CVE-2022-50890 foi publicada em 2026-01-13. Atualmente, não há informações sobre a inclusão desta vulnerabilidade no KEV (CISA Known Exploited Vulnerabilities) ou sobre a existência de exploits públicos amplamente divulgados. A probabilidade de exploração ativa é considerada baixa, mas a falta de uma correção oficial e a facilidade de exploração tornam a vulnerabilidade um risco potencial.
Users of Android devices running Owlfiles File Manager version 12.0.1 are at direct risk. Shared hosting environments or devices with weak access controls are particularly vulnerable, as an attacker could potentially leverage this vulnerability to gain broader access to the system. Users who store sensitive data within the file manager's accessible directories are also at increased risk.
• android / file-manager:
Get-InstalledPackage -Name "Owlfiles File Manager"• android / file-manager:
# Check for suspicious files in accessible directories
Get-ChildItem -Path /data/data/com.owlfiles.filemanager/files/ -Recurse -ErrorAction SilentlyContinue | Where-Object {$_.Name -match "..\"}• android / file-manager:
# Check for unusual network activity related to the file manager
netstat -an | grep :8080 # Assuming default portdisclosure
Status do Exploit
EPSS
0.44% (percentil 63%)
CISA SSVC
Vetor CVSS
Como a correção oficial (versão corrigida) ainda não foi lançada, a mitigação imediata envolve a implementação de medidas de segurança adicionais. Primeiramente, desative o servidor HTTP interno do Owlfiles File Manager, se não for essencial para a funcionalidade. Em segundo lugar, configure um Web Application Firewall (WAF) ou proxy reverso para filtrar requisições HTTP maliciosas que contenham sequências de traversal de diretório. Implemente regras de firewall que bloqueiem requisições com padrões como ../, ..\, ou ..%2F. Monitore os logs de acesso do Owlfiles File Manager em busca de tentativas de acesso a diretórios não autorizados.
Atualize para a versão mais recente disponível do Owlfiles File Manager para mitigar a vulnerabilidade de transversal de caminho. Verifique as atualizações na loja de aplicativos correspondente. Evite abrir arquivos de fontes não confiáveis até que a atualização seja aplicada.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2022-50890 is a vulnerability in Owlfiles File Manager version 12.0.1 that allows attackers to access system directories by crafting malicious GET requests.
If you are using Owlfiles File Manager version 12.0.1, you are potentially affected by this vulnerability. Upgrade to a patched version as soon as it becomes available.
The recommended fix is to upgrade to a patched version of Owlfiles File Manager. Monitor the vendor's official channels for updates.
There is currently no confirmed evidence of active exploitation, but the vulnerability's simplicity suggests a potential for future attacks.
Refer to the Owlfiles File Manager official website or their security advisory page for the latest information and updates regarding CVE-2022-50890.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo build.gradle e descubra na hora se você está afetado.