nvd
Flocksafety
Уязвимости
15
Эксплуатируемые
0
Критический
2
Высокий
4
Топ продуктов
Топ уязвимостей
CVE-2025-59407Приложение DetectionProcessing (com.flocksafety.android.objects) версии 6.35.33 для Android, используемое в устройствах Falcon, Sparrow и Bravo Edge, включает Java‑keystore «flock_rye.bks» с жёстко прописанным паролем «flockhibiki17». Keystore хранится в каталоге /system-apps/flock-object/res/raw/ и содержит закрытый ключ, что позволяет злоумышленнику извлечь сертификат и ключ, если получит доступ к прошивке. Информация из источника 1 [1].
Источники:
- [1] https://gainsec.com/wp-content/uploads/2025/09/Root-from-the-Coop-Device-3_-Root-Shell-on-Flock-Safetys-Bravo-Compute-Box-GainSec.pdf
- [2] https://www.flocksafety.com/products
- [3] https://www.flocksafety.com/products/license-plate-readers
- [4] https://gainsec.com/2025/09/27/fly-by-device-2-the-falcon-sparrow-gated-wireless-rce-camera-feed-dos-information-disclosure-and-more/
CVE-2025-59403Android‑приложение **Collins** (com.flocksafety.android.collins) версии 6.35.31, использующееся в устройствах Falcon, Sparrow и Bravo, не требует аутентификации и открывает административные API‑эндпоинты на порту 8080. Доступны такие запросы, как `/reboot` (вызывает перезагрузку), `/logs` (выдаёт журнал), `/crashpack` (предоставляет дамп краша) и `/adb/enable` (включает ADB по TCP без подтверждения отладки). Это приводит к отказу в обслуживании (DoS), раскрытию конфиденциальной информации и удалённому выполнению кода (RCE) через ADB.\n\nИсточники:\n- [1] https://gainsec.com/wp-content/uploads/2025/09/Root-from-the-Coop-Device-3_-Root-Shell-on-Flock-Safetys-Bravo-Compute-Box-GainSec.pdf\n- [2] https://www.flocksafety.com/products\n- [3] https://www.flocksafety.com/products/license-plate-readers
CVE-2025-59409Устройства считывания автомобильных номеров Flock Safety Falcon и Sparrow (версия OPM1.171019.026) содержат в прошивке производственные Wi‑Fi учётные данные (SSID = test_flck, пароль также хранится в открытом виде). Эти данные находятся в прошивке в открытом виде, что позволяет злоумышленнику подключиться к устройству или выполнить атаку типа «evil‑twin». Some info from source 1 [1].
Источники:
- [1] https://gainsec.com/wp-content/uploads/2025/09/Root-from-the-Coop-Device-3_-Root-Shell-on-Flock-Safetys-Bravo-Compute-Box-GainSec.pdf
- [2] https://www.flocksafety.com/products
- [3] https://www.flocksafety.com/products/license-plate-readers
- [4] https://gainsec.com/2025/09/27/fly-by-device-2-the-falcon-sparrow-gated-wireless-rce-camera-feed-dos-information-disclosure-and-more/
CVE-2025-59405В приложении com.flocksafety.android.peripheral версии 7.38.3 для Android (устанавливаемом в устройствах считывания номерных знаков Falcon, Sparrow и в Bravo Edge AI Compute) обнаружен открытый ключ API DataDog, находящийся в открытом виде в коде. Поскольку бинарные файлы легко декомпилировать, злоумышленник может извлечь OAuth‑секрет без каких‑либо привилегий. Секрет должен оставаться конфиденциальным и не должен быть включен в клиентское программное обеспечение. См. [1][2][3][4]
Источники:
- [1] https://gainsec.com/wp-content/uploads/2025/09/Root-from-the-Coop-Device-3_-Root-Shell-on-Flock-Safetys-Bravo-Compute-Box-GainSec.pdf
- [2] https://www.flocksafety.com/products
- [3] https://www.flocksafety.com/products/license-plate-readers
- [4] https://gainsec.com/2025/09/27/fly-by-device-2-the-falcon-sparrow-gated-wireless-rce-camera-feed-dos-information-disclosure-and-more/
CVE-2025-59404Устройство Flock Safety Bravo Edge AI Compute Device BRAVO_00.00_local_20241017 поставляется с незаблокированным загрузчиком. Это позволяет обойти проверку Android Verified Boot (AVB) и напрямую изменять разделы [1].
Источники:
- [1] https://gainsec.com/wp-content/uploads/2025/09/Root-from-the-Coop-Device-3_-Root-Shell-on-Flock-Safetys-Bravo-Compute-Box-GainSec.pdf
- [2] https://www.flocksafety.com/products
- [3] https://www.flocksafety.com/products/license-plate-readers
- [4] https://gainsec.com/2025/09/19/root-from-the-coop-device-3-root-shell-on-flock-safetys-bravo-compute-box/
CVE-2025-59408Устройство Flock Safety Bravo Edge AI Compute Device BRAVO_00.00_local_20241017 поставляется с отключенной функцией Secure Boot. Это позволяет злоумышленнику прошить модифицированную прошивку без криптографической защиты [1].
Источники:
- [1] https://gainsec.com/wp-content/uploads/2025/09/Root-from-the-Coop-Device-3_-Root-Shell-on-Flock-Safetys-Bravo-Compute-Box-GainSec.pdf
- [2] https://www.flocksafety.com/products
- [3] https://www.flocksafety.com/products/license-plate-readers
- [4] https://gainsec.com/2025/09/19/root-from-the-coop-device-3-root-shell-on-flock-safetys-bravo-compute-box/
CVE-2025-47822Устройства Flock Safety LPR (License Plate Reader) с прошивкой через 2.2 имеют интерфейс отладки на фишках с неправильным контролем доступа.
CVE-2025-47819Устройства обнаружения выстрелов Flock Safety перед 1.3 имеют интерфейс отладки на фиг.
CVE-2025-59406Android‑приложение **Pisco** (com.flocksafety.android.pisco) версии 6.21.11 содержит открытый (cleartext) клиентский секрет Auth0 в исходном коде. При дешифровке APK любой может извлечь этот OAuth‑секрет, который должен оставаться конфиденциальным. Наличие секретов в клиентском коде позволяет злоумышленнику получить токены доступа без специальных привилегий.\n\nИсточники:\n- [1] https://gainsec.com/wp-content/uploads/2025/09/Root-from-the-Coop-Device-3_-Root-Shell-on-Flock-Safetys-Bravo-Compute-Box-GainSec.pdf\n- [2] https://www.flocksafety.com/products\n- [3] https://www.flocksafety.com/products/license-plate-readers\n- [4] https://gainsec.com/2025/09/27/fly-by-device-2-the-falcon-sparrow-gated-wireless-rce-camera-feed-dos-information-disclosure-and-more/
CVE-2025-59402Устройство Flock Safety Bravo Edge AI Compute Device BRAVO_00.00_local_20241017 принимает загрузчик Thundercomm TurboX 6490 Firehose по умолчанию в режиме EDL/QDL. Это позволяет злоумышленникам с физическим доступом прошивать произвольную прошивку, сбрасывать разделы и обходить проверки безопасности загрузчика и ОС [1].
Источники:
- [1] https://gainsec.com/wp-content/uploads/2025/09/Root-from-the-Coop-Device-3_-Root-Shell-on-Flock-Safetys-Bravo-Compute-Box-GainSec.pdf
- [2] https://www.flocksafety.com/products
- [3] https://www.flocksafety.com/products/license-plate-readers
- [4] https://gainsec.com/2025/09/19/root-from-the-coop-device-3-root-shell-on-flock-safetys-bravo-compute-box/
CVE-2025-47823Устройства Flock Safety LPR (License Plate Reader) с прошивкой через 2.2 имеют жесткий пароль для системы.
CVE-2025-47821Устройства Flock Safety Gunshot Detection до 1.3 имеют жесткий пароль для системы.
CVE-2025-47818Устройства Flock Safety Gunshot Detection до 1.3 имеют жесткий пароль для подключения.
CVE-2025-47824Устройства Flock Safety LPR (License Plate Reader) с прошивкой через 2.2 имеют четкое текстовое хранилище кода.
CVE-2025-47820Устройства Flock Safety Gunshot Detection до 1.3 имеют четкое текстовое хранилище кода.