Mirmay Secure Private Browser / File Manager يصل إلى2.5 على iPad Auto Lock توثيق ضعيف
| CVSS درجة الميتا الوقتية | سعر الإكسبلويت الحالي (≈) | درجة اهتمام الـCTI |
|---|---|---|
| 3.0 | $0-$5k | 0.04 |
ثغرة أمنية مصنفة على أنها مشكلة صعبة الحل تم أيجادها في Mirmay Secure Private Browser and File Manager يصل إلى2.5. المشكلة أثرت على دالة غير معروفة من العنصر Auto Lock. أستخدام الـ سي دبليو أي للأعلان عن المشكلة يؤدي إلى CWE-287. المشكلة تم أكتشافها بتاريخ31/08/2017. المشكلة تم نشرها بتاريخ 01/02/2018 بواسطة Marc Ruef مع scip AG كـ Labs 20180201 كـ فيديو (Youtube). يمكن تحميل الاستشارة من هنا scip.ch. تم النشر بالتنسيق مع الشركة المالكة.
تم تسمية الثغرة بأسمCVE-2018-25030. الهجوم لايمكن أن يتم من دون وصول محلي على نفس عنوان بروتوكول الإنترنت. التفاصيل التقنية غير متوفرة. التقارير تشير بأن الثغرة الأمنية هذه ذات شهرة أقل من المتوسط. هنالك إكسبلويت متوفرة. تم الإبلاغ عن ال إكسبلويت ويمكن استخدامها. سعر الإكسبلويت الحالي تقريباً. USD $0-$5k في هذه اللحظة. وقد أشار الاستشاري إلى أن:
However, there is an indication that the app doesn’t correctly follow the sequence of actions at this specific point. When the video minimizes and the app opens again, LocalAuthentication should be used to close the video or display an overlay before the initial authentication. Only then should the modal dialog box for authentication be displayed.
تم أعتبراها على أنها فعالة. يمكن تحميل الإكسبلويت من هناyoutu.be. بما أنها ثغرة هجوم فوري فقد كان متوسط سعرها هو تقريبا$0-$5k. وقد أشار الاستشاري إلى:
A few criteria must be met for this vulnerability to occur and be exploited. Basically, a certain degree of incorrect use is required. Still, it is possible to inadvertently create this situation and thus nullify the core security function of the app.
ننصح بـ تبديل المكون المتأثر بهذه الثغرة بمكون آخر.
منتج
المجهز
الأسم
النسخة
CPE 2.3
CPE 2.2
فيديو
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍
CVSSv3
VulDB الدرجة الأساسية للميتا: 3.0VulDB درجة الميتا الوقتية: 3.0
VulDB الدرجة الأساسية: 3.3
VulDB الدرجة الوقتية: 3.3
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍
NVD الدرجة الأساسية: 2.5
NVD متجه: 🔍
CNA الدرجة الأساسية: 3.3
CNA متجه (VulDB): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| متجه | التعقيد | توثيق | السرية | الأمانة | التوفر |
|---|---|---|---|---|---|
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
VulDB الدرجة الأساسية: 🔍
VulDB الدرجة الوقتية: 🔍
VulDB الاعتمادية: 🔍
NVD الدرجة الأساسية: 🔍
إكسبلويت
الفئة: توثيق ضعيفCWE: CWE-287
CAPEC: 🔍
ATT&CK: 🔍
محلي: نعم
عن بعد: لا
التوفر: 🔍
وصول: عام
الحالة: فعالة
الكاتب: Marc Ruef
لغة البرمجة: 🔍
تحميل: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
تقدير السعر: 🔍
تقدير السعر الحالي: 🔍
| 0-Day | افتح | افتح | افتح | افتح |
|---|---|---|---|---|
| اليوم | افتح | افتح | افتح | افتح |
استخبارات التهديد
الاهتمام: 🔍الفاعلين النشيطين: 🔍
مجوعات الـAPT الفعالة: 🔍
إجراءات مضادة
المقترح: بديلالحالة: 🔍
زمن الهجوم الفوري: 🔍
مدة تأخر الإكسبلويت: 🔍
التسلسل زمني
31/08/2017 🔍31/08/2017 🔍
01/09/2017 🔍
01/02/2018 🔍
01/02/2018 🔍
28/01/2022 🔍
27/12/2022 🔍
المصادر
استشاري: Labs 20180201باحث: Marc Ruef
منظمة: scip AG
الحالة: مؤكد
تنسيق: 🔍
CVE: CVE-2018-25030 (🔍)
scip Labs: https://www.scip.ch/en/?labs.20161013
ادخال
تم الانشاء: 01/09/2017 10:44تم التحديث: 27/12/2022 14:34
التغييرات: 01/09/2017 10:44 (59), 14/03/2020 10:50 (2), 28/01/2022 12:48 (4), 02/03/2022 08:46 (3), 28/03/2022 22:37 (1), 27/12/2022 14:33 (3), 27/12/2022 14:34 (27)
كامل: 🔍
Cache ID: 3:C90:103
لا توجد تعليقات اللغات: ar + en.
يرجى تسجيل الدخول حتى تتمكن من التعليق