Evernote 5.5.0 em Android Backup com.evernote_preferences.xml Fraca autenticação
| CVSS Meta Temp score | Preço de exploração actual (≈) | Nota de Interesse CTI |
|---|---|---|
| 5.6 | $0-$5k | 0.00 |
Uma vulnerabilidade classificada como crítico foi encontrada em Evernote 5.5.0. Afectado é uma função desconhecida do ficheiro com.evernote_preferences.xml do componente Backup Handler. A manipulação com uma entrada desconhecida leva a Fraca autenticação. A definição de CWE para a vulnerabilidade é CWE-287. O aconselhamento resume:
The ADB backup functionality requires an Android device running the Ice-Cream Sandwich version of Android (4.x) or above.O bug foi descoberto em 01/05/2013. O aconselhamento é partilhado para download em blog.c22.cc. A divulgação pública foi coordenada em cooperação com o vendedor. A divulgação contém:
Effected versions of Evernote on the Android platform allow for users with limited access via the ADB (Android Debug Bridge) interface of an Android device (USB debugging enabled, no root access required) to perform backup and restore of applications and application data.
A vulnerabilidade é identificada como CVE-2013-5112. A atribuição do CVE aconteceu em 13/08/2013. Os detalhes técnicos estão disponíveis. A vulnerabilidade não é bem conhecida. Além disso, há uma exploração disponível. A exploração foi divulgada ao público e pode ser utilizada.
É declarado como proof-of-concept. A vulnerabilidade foi tratada como uma exploração não pública de dia zero durante pelo menos 208 dias. Esperamos que o dia 0 tenha valido aproximadamente $0-$5k.
A actualização para a versão 5.5.1 é capaz de abordar esta questão. Recomenda-se a actualização do componente afectado.
Produto
Tipo
Nome
Versão
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Fiabilidade: 🔍
CVSSv3
VulDB Meta Pontuação Base: 6.2VulDB Meta Temp score: 5.8
VulDB Pontuação Base: 7.7
VulDB Pontuação da Tempestade: 6.9
VulDB Vector: 🔍
VulDB Fiabilidade: 🔍
NVD Pontuação Base: 4.6
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complexidade | Autenticação | Confidencialidade | Integridade | Disponibilidade |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Pontuação Base: 🔍
VulDB Pontuação da Tempestade: 🔍
VulDB Fiabilidade: 🔍
NVD Pontuação Base: 🔍
Exploração
Classe: Fraca autenticaçãoCWE: CWE-287
CAPEC: 🔍
ATT&CK: 🔍
Local: Sim
Remoto: Não
Disponibilidade: 🔍
Aceda a: Público
Estado: Proof-of-Concept
Google Hack: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Tendência dos preços: 🔍
Estimativa de preço actual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoje | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligência de Ameaças
Interesse: 🔍Actores Activos: 🔍
Grupos APT activos: 🔍
Contra-medidas
Recomendação: ActualizaçãoEstado: 🔍
Tempo de resposta: 🔍
Tempo 0-Dia: 🔍
Tempo de atraso de exploração: 🔍
Actualização: Evernote 5.5.1
Linha do tempo
01/05/2013 🔍13/08/2013 🔍
13/08/2013 🔍
25/11/2013 🔍
07/12/2013 🔍
07/12/2013 🔍
16/12/2013 🔍
04/06/2021 🔍
Fontes
Aconselhamento: blog.c22.ccPessoa: Chris John Riley
Estado: Confirmado
Coordenado: 🔍
CVE: CVE-2013-5112 (🔍)
X-Force: 89735
OSVDB: 100936
scip Labs: https://www.scip.ch/en/?labs.20130704
Veja também: 🔍
Entrada
Criado em: 16/12/2013 10h44Actualizado em: 04/06/2021 10h47
Ajustamentos: 16/12/2013 10h44 (57), 23/03/2019 23h23 (3), 04/06/2021 10h40 (3), 04/06/2021 10h47 (18)
Completo: 🔍
Editor: olku
Ainda sem comentários. Idiomas: pt + en.
Por favor inicie sessão para comentar.