whisperfish libsignal-service-rs was_encrypted schwache Authentisierung
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 7.2 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine Schwachstelle in whisperfish libsignal-service-rs ausgemacht. Sie wurde als kritisch eingestuft. Betroffen davon ist eine unbekannte Funktion. Durch die Manipulation des Arguments was_encrypted mit unbekannten Daten kann eine schwache Authentisierung-Schwachstelle ausgenutzt werden. Diese Schwachstelle trägt die Bezeichnung CVE-2025-24903. Umgesetzt werden kann der Angriff über das Netzwerk. Es gibt keinen verfügbaren Exploit. Es ist ratsam, einen Patch zu implementieren, um dieses Problem zu beheben.
Details
In whisperfish libsignal-service-rs - eine genaue Versionsangabe ist nicht möglich - wurde eine Schwachstelle ausgemacht. Sie wurde als kritisch eingestuft. Dabei geht es um ein unbekannter Prozess. Durch die Manipulation des Arguments was_encrypted mit einer unbekannten Eingabe kann eine schwache Authentisierung-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-345. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
libsignal-service-rs is a Rust version of the libsignal-service-java library which implements the core functionality to communicate with Signal servers. Prior to commit 82d70f6720e762898f34ae76b0894b0297d9b2f8, any contact may forge a sync message, impersonating another device of the local user. The origin of sync messages is not checked. Patched libsignal-service can be found after commit 82d70f6720e762898f34ae76b0894b0297d9b2f8. The `Metadata` struct contains an additional `was_encrypted` field, which breaks the API, but should be easily resolvable. No known workarounds are available.Auf github.com kann das Advisory eingesehen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 27.01.2025 mit CVE-2025-24903 vorgenommen. Sie ist leicht ausnutzbar. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht.
Die Schwachstelle lässt sich durch das Einspielen des Patches 82d70f6720e762898f34ae76b0894b0297d9b2f8 beheben.
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Produkt
Hersteller
Name
Webseite
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.4VulDB Meta Temp Score: 7.2
VulDB Base Score: 6.3
VulDB Temp Score: 6.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CNA Base Score: 8.5
CNA Vector (GitHub_M): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Schwache AuthentisierungCWE: CWE-345
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
0-Day Time: 🔍
Patch: 82d70f6720e762898f34ae76b0894b0297d9b2f8
Timeline
27.01.2025 🔍13.02.2025 🔍
13.02.2025 🔍
13.02.2025 🔍
Quellen
Produkt: github.comAdvisory: github.com
Status: Bestätigt
CVE: CVE-2025-24903 (🔍)
GCVE (CVE): GCVE-0-2025-24903
GCVE (VulDB): GCVE-100-295738
Eintrag
Erstellt: 13.02.2025 16:30Anpassungen: 13.02.2025 16:30 (62)
Komplett: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.