Mirmay Secure Private Browser / File Manager até 2.5 em iPad Auto Lock Fraca autenticação
| CVSS Meta Temp score | Preço de exploração actual (≈) | Nota de Interesse CTI |
|---|---|---|
| 3.0 | $0-$5k | 0.00 |
Uma vulnerabilidade, que foi classificada como problemático, foi encontrada em Mirmay Secure Private Browser and File Manager até 2.5. Afectado é uma função desconhecida do componente Auto Lock. A manipulação com uma entrada desconhecida leva a Fraca autenticação. Usar a CWE para declarar o problema leva à CWE-287. O bug foi descoberto em 31/08/2017. O aconselhamento é partilhado para download em scip.ch. O lançamento público foi coordenado com o fornecedor.
A vulnerabilidade é identificada como CVE-2018-25030. O ataque deve ser iniciado localmente. Não há detalhes técnicos disponíveis. A vulnerabilidade não é bem conhecida. Além disso, há uma exploração disponível. A exploração foi divulgada ao público e pode ser utilizada. O aconselhamento aponta para o seguinte:
However, there is an indication that the app doesn’t correctly follow the sequence of actions at this specific point. When the video minimizes and the app opens again, LocalAuthentication should be used to close the video or display an overlay before the initial authentication. Only then should the modal dialog box for authentication be displayed.
É declarado como funcional. A exploração é partilhada para download em youtu.be. Como 0 dia, o preço estimado do subsolo foi de cerca de $0-$5k. O aconselhamento aponta para o seguinte:
A few criteria must be met for this vulnerability to occur and be exploited. Basically, a certain degree of incorrect use is required. Still, it is possible to inadvertently create this situation and thus nullify the core security function of the app.
Recomenda-se a substituição do componente afectado por uma alternativa.
Produto
Fabricante
Nome
Versão
CPE 2.3
CPE 2.2
Vídeo
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Fiabilidade: 🔍
CVSSv3
VulDB Meta Pontuação Base: 3.0VulDB Meta Temp score: 3.0
VulDB Pontuação Base: 3.3
VulDB Pontuação da Tempestade: 3.3
VulDB Vector: 🔍
VulDB Fiabilidade: 🔍
NVD Pontuação Base: 2.5
NVD Vector: 🔍
CNA Pontuação Base: 3.3
CNA Vector (VulDB): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complexidade | Autenticação | Confidencialidade | Integridade | Disponibilidade |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Pontuação Base: 🔍
VulDB Pontuação da Tempestade: 🔍
VulDB Fiabilidade: 🔍
NVD Pontuação Base: 🔍
Exploração
Classe: Fraca autenticaçãoCWE: CWE-287
ATT&CK: Desconhecido
Local: Sim
Remoto: Não
Disponibilidade: 🔍
Aceda a: Público
Estado: Funcional
Autor: Marc Ruef
Linguagem de programação: 🔍
Descarregar: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Tendência dos preços: 🔍
Estimativa de preço actual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoje | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligência de Ameaças
Interesse: 🔍Actores Activos: 🔍
Grupos APT activos: 🔍
Contra-medidas
Recomendação: AlternativaEstado: 🔍
Tempo 0-Dia: 🔍
Tempo de atraso de exploração: 🔍
Linha do tempo
31/08/2017 🔍31/08/2017 🔍
01/09/2017 🔍
01/02/2018 🔍
01/02/2018 🔍
28/01/2022 🔍
27/12/2022 🔍
Fontes
Aconselhamento: Labs 20180201Pessoa: Marc Ruef
Empresa: scip AG
Estado: Confirmado
Coordenado: 🔍
CVE: CVE-2018-25030 (🔍)
scip Labs: https://www.scip.ch/en/?labs.20161013
Entrada
Criado em: 01/09/2017 10h44Actualizado em: 27/12/2022 14h34
Ajustamentos: 01/09/2017 10h44 (59), 14/03/2020 10h50 (2), 28/01/2022 12h48 (4), 02/03/2022 08h46 (3), 28/03/2022 22h37 (1), 27/12/2022 14h33 (3), 27/12/2022 14h34 (27)
Completo: 🔍
Ainda sem comentários. Idiomas: pt + en.
Por favor inicie sessão para comentar.