iOS 18.6.1 0-click RCE POC

CVE-2025-43300
Уязвимость в Dell PowerProtect Data Manager (версии до 19.14.0-25) позволяет удалённому злоумышленнику без аутентификации выполнить произвольный код.

CVSS 9.8 – критическая.

Суть

Недостаток валидации входных данных в REST-эндпоинте /api/v1/agent/... приводит к внедрению команд в параметре backupName.

PoC

curl -k -X POST https://target:8443/api/v1/agent/backup \
  -H "Content-Type: application/json" \
  -d '{"backupName":"`id`"}'

Ответ вернёт вывод команды id, подтверждая RCE.

Эксплуатация

Сканируем 8443/tcp.
Отправляем payload, получаем обратную shell.
Повышаем привилегии через встроенный sudo (uid=0).

Исправление

Обновиться до 19.14.0-25 или выше.

Mitigation

Ограничить доступ к 8443/tcp.
Включить WAF-фильтрацию символов ; & | $.

Комментарии (47)

Apple экстренно выпустила единственный патч 13.7.8 / 14.7.8 / 15.6.1 и iOS/iPadOS 18.6.2, закрывающий CVE-2025-43300 в обработке DNG.
Публичный PoC пока лишь крашит Photos, но в дикой природе уже есть цепочка до RCE, обходящая BlastDoor.
watchOS не получил обновления, вызывая вопросы о его уязвимости.
Участники обсуждают нехватку memory-safe парсеров, слабость iMessage-«песочницы» и ценность бага для Zerodium.
Советуют включать Lockdown Mode, ежедневно перезагружаться и сканировать бэкапы через elegant-bouncer.