CVE-2021-41100 in Wire-serverinformazioni

Riassunto

di VulDB • 15/06/2026

Wire-server è il server di supporto per l'applicazione di messaggistica sicura open source Wire. Nelle versioni interessate, è possibile modificare l'indirizzo email di un utente disponendo esclusivamente del token di sessione a breve durata presente nell'intestazione `Authorization`. Poiché il token a breve durata è concepito esclusivamente come mezzo di autenticazione da parte del client per richieste meno critiche verso il backend, la possibilità di modificare l'indirizzo email con un token a breve durata costituisce un attacco di escalation dei privilegi. Dato che l'attaccante può modificare la password dopo aver impostato l'indirizzo email su uno di sua proprietà, la modifica dell'indirizzo email può portare al takeover dell'account da parte dell'attaccante. I token a breve durata possono essere richiesti dal backend dai client Wire utilizzando i token a lunga durata, dopodiché i token a lunga durata possono essere memorizzati in modo sicuro, ad esempio nella chiave di accesso del dispositivo (keychain). I token a breve durata possono quindi essere utilizzati per autenticare il client verso il backend per azioni eseguite frequentemente, come l'invio e la ricezione di messaggi. Sebbene i token a breve durata non dovrebbero essere disponibili per un attaccante in sé, vengono utilizzati più spesso e sotto forma di intestazione HTTP, aumentando il rischio di esposizione a un attaccante rispetto ai token a lunga durata, che sono memorizzati e trasmessi nei cookie. Se si esegue un'istanza on-premise e si forniscono tutti gli utenti tramite SCIM, non si è interessati da questo problema (la modifica dell'email è bloccata per gli utenti SCIM). L'accesso unico SAML (SAML single-sign-on) non è interessato da questo problema e si comporta in modo identico prima e dopo questo aggiornamento. Il motivo è che l'indirizzo email utilizzato come SAML NameID è memorizzato in una posizione diversa nel database rispetto a quello utilizzato per contattare l'utente al di fuori di Wire. La versione 2021-08-16 e successive forniscono un nuovo endpoint che richiede sia il cookie del client a lunga durata sia l'intestazione `Authorization`. Il vecchio endpoint è stato rimosso. Se si esegue un'istanza on-premise con almeno alcuni utenti invitati o forniti tramite SAML SSO e non è possibile effettuare l'aggiornamento, è possibile bloccare `/self/email` su nginz (o in qualsiasi altro proxy o firewall configurato). Non è necessario discriminare per verbo: `/self/email` accetta solo `PUT` e `DELETE`, e `DELETE` è quasi mai utilizzato.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

GitHub, Inc.

Prenotare

15/09/2021

Divulgazione

04/10/2021

Moderazione

accettato

CPE

pronto

EPSS

0.01000

KEV

no

Attività

molto basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!