AliasVault App حتى 0.25.3 على Android/iOS Backup aliasvault.xml الكشف عن المعلومات
الملخص
تم أكتشاف ثغرة أمنية في AliasVault App حتى 0.25.3. وقد تم تصنيفها على أنها مشكلة صعبة الحل. الثغرة الأمنية متواجدة في دالة غير معروفة من الملف shared_prefs/aliasvault.xml من العنصر Backup Handler. ينتج عن التلاعب بالمعامل accessToken/refreshToken/metadata/key_derivation_params/auth_methods حدوث الكشف عن المعلومات. أسم الثغرة الأمنية هوCVE-2026-2974. الهجوم هذا يشترط وصول إلى عنوان بروتوكول الإنترنت الخاص بالضحية. علاوة على ذلك، يوجد استغلال متاح. يُنصح بترقية المكون المتأثر.
التفاصيل
تم أكتشاف ثغرة أمنية في AliasVault App حتى 0.25.3. وقد تم تصنيفها على أنها مشكلة صعبة الحل. الثغرة الأمنية متواجدة في دالة غير معروفة من الملف shared_prefs/aliasvault.xml من العنصر Backup Handler. ينتج عن التلاعب بالمعامل accessToken/refreshToken/metadata/key_derivation_params/auth_methods حدوث الكشف عن المعلومات. عند استخدام CWE لتحديد المشكلة، سيتم التوجيه إلى CWE-530. تم الإعلان عن الثغرة تحت 1497. يمكن عرض الاستشارة من هنا github.com.
أسم الثغرة الأمنية هوCVE-2026-2974. الهجوم هذا يشترط وصول إلى عنوان بروتوكول الإنترنت الخاص بالضحية. التفاصيل التقنية متوفرة. الهجوم هذا كان معقد للغاية. الثغرة الأمنية هذه صعبة الاستغلال. شعبية هذه الثغرة أقل من المتوسط. علاوة على ذلك، يوجد استغلال متاح. تم الكشف عن الاستغلال للعامة وقد يتم استخدامه.
إذا تم تحديد إثبات المفهوم، فإنه يُعلن كـ إثبات المفهوم. تستطيع تحميل الإكسبلويت من هنا github.com.
إذا تمت الترقية إلى الإصدار 0.26.0، يمكن معالجة هذه المشكلة. الإصدار الجديد متاح للتنزيل عبر github.com. أسم الباتش التصحيحي هو873ecc03f92238e162f98a068ad56069a922b4f6/0bd662320174d8265dfe3b05a04bc13efc960532. إصلاح الخلل جاهز للتحميل من github.com. يُنصح بترقية المكون المتأثر.
منتج
الأسم
النسخة
الرخصة
CPE 2.3
CPE 2.2
CVSSv4
VulDB متجه: 🔒VulDB الاعتمادية: 🔍
CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA متجه: 🔒
CVSSv3
VulDB الدرجة الأساسية للميتا: 2.5VulDB الدرجة المؤقتة للميتا: 2.4
VulDB الدرجة الأساسية: 2.5
VulDB الدرجة المؤقتة: 2.3
VulDB متجه: 🔒
VulDB الاعتمادية: 🔍
CNA الدرجة الأساسية: 2.5
CNA متجه: 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| متجه | التعقيد | توثيق | السرية | الأمانة | التوفر |
|---|---|---|---|---|---|
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
VulDB الدرجة الأساسية: 🔒
VulDB الدرجة المؤقتة: 🔒
VulDB الاعتمادية: 🔍
استغلال
الفئة: الكشف عن المعلوماتCWE: CWE-530 / CWE-285 / CWE-266
CAPEC: 🔒
ATT&CK: 🔒
ملموس: جزئي
محلي: نعم
عن بُعد: لا
التوفر: 🔒
وصول: عام
الحالة: إثبات المفهوم
تحميل: 🔒
Google Hack: 🔒
EPSS Score: 🔒
EPSS Percentile: 🔒
تقدير السعر: 🔍
تقدير السعر الحالي: 🔒
| 0-Day | افتح | افتح | افتح | افتح |
|---|---|---|---|---|
| اليوم | افتح | افتح | افتح | افتح |
استخبارات التهديد
الاهتمام: 🔍الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍
إجراءات مضادة
التوصية: ترقيةالحالة: 🔍
زمن الهجوم الفوري: 🔒
ترقية: AliasVault App 0.26.0
تصحيح: 873ecc03f92238e162f98a068ad56069a922b4f6/0bd662320174d8265dfe3b05a04bc13efc960532
الجدول الزمني
22/02/2026 تم نشر الاستشارة22/02/2026 تم إنشاء إدخال VulDB
12/03/2026 آخر تحديث في VulDB
المصادر
استشارة: 1497الحالة: مؤكد
تأكيد: 🔒
CVE: CVE-2026-2974 (🔒)
GCVE (CVE): GCVE-0-2026-2974
GCVE (VulDB): GCVE-100-347340
scip Labs: https://www.scip.ch/en/?labs.20130704
إدخال
تم الإنشاء: 22/02/2026 03:52 PMتم التحديث: 12/03/2026 07:00 PM
التغييرات: 22/02/2026 03:52 PM (64), 23/02/2026 08:08 AM (30), 12/03/2026 07:00 PM (1)
كامل: 🔍
المقدم: nmaochea
Cache ID: 216::103
إرسال
تمت الموافقة
- إرسال #756058: AliasVault v0.25.3 Insecure Storage of Sensitive Information (بحسب nmaochea)
مكرر
Once again VulDB remains the best source for vulnerability data.
لا توجد تعليقات بعد اللغات: ar + fa + en.
يرجى تسجيل الدخول حتى تتمكن من التعليق