Уязвимость представляет собой проблему некорректной проверки входных данных.
Почти все основные поставщики интернет-услуг в Канаде потенциально подвержены атаке с использованием уязвимости локального раскрытия информации, обнаруженной в службе SOLEO IP Relay.
SOLEO IP Relay представляет собой облачную службу IP-ретрансляции для провайдеров телекоммуникаций, которая позволяет глухим, слабослышащим, или имеющим расстройство речи людям делать вызовы с помощью вспомогательных телефонных устройств.
По словам исследователя проекта Insecurity Доминика Пеннера (Dominik Penner), уязвимость представляет собой проблему некорректной проверки входных данных и может привести к раскрытию чувствительной информации пользователей.
Злоумышленник может проэксплуатировать уязвимость для определения состава каталога IPRelayApp и найти местоположение исходных файлов на сервере ретрансляции IP, а затем загрузить их. Все следующие файлы можно загрузить, получив их из WEB-INF/classes/*, отметили специалисты.
Данная уязвимость является очень серьезной, так как при ее успешной эксплуатации злоумышленник сможет похитить данные порядка 30 млн жителей Канады.