CVE-2022-28345 (Signal – Signal)

Vulnerabilidad en Signal – CVE-2022-28345
– Información y soluciones

Detalles de vulnerabilidad: CVE-2022-28345

La aplicación Signal anterior a 5.34 para iOS permite la suplantación de URI a través de la inyección RTLO. Representa incorrectamente las URL codificadas con RTLO que comienzan con un espacio continuo, cuando hay un carácter hash en la URL. Esta técnica permite a un atacante remoto no autenticado enviar enlaces de aspecto legítimo, que parecen ser cualquier URL de sitio web, al abusar de la representación automática de URL que no es http ni https. Un atacante puede falsificar, por ejemplo, example.com y enmascarar cualquier URL con un destino malicioso. Un atacante requiere un subdominio como gepj, txt, fdp o xcod, que aparecería al revés como jpeg, txt, pdf y docx respectivamente.

Fecha de publicación: 2022-04-15 Fecha de última actualización: 2022-04-26

Buscar Twitter


Buscar en YouTube


Busca en Google


Puntuaciones CVSS y tipos de vulnerabilidad

Puntaje CVSS
5.0
Impacto de la confidencialidad Ninguna
(No hay impacto en la confidencialidad del sistema).
Impacto de integridad Parcial
(La modificación de algunos archivos o información del sistema es posible, pero el atacante no tiene control sobre lo que se puede modificar, o el alcance de lo que el atacante puede afectar es limitado).
Impacto en la disponibilidad Ninguna
(No hay impacto en la disponibilidad del sistema).
Complejidad de acceso Bajo
(No existen condiciones de acceso especializadas o circunstancias atenuantes. Se requiere muy poco conocimiento o habilidad para explotar).
Autenticación No requerido
(No se requiere autenticación para aprovechar la vulnerabilidad).
Acceso obtenido Ninguna
Tipo(s) de vulnerabilidad
Identificación de CWE 74


Productos afectados por CVE-2022-28345

# tipo de producto Vendedor Producto Versión Actualizar Edición Idioma

1

Solicitud

Señal

Señal

*

*

*

*

Detalles de la versión&nbspVulnerabilidades


Referencias para CVE-2022-28345

https://sick.codes/sick-2022-42
https://blog.malwarebytes.com/social-engineering/2022/03/uri-spoofing-flaw-could-phish-whatsapp-signal-instagram-and-imessage-users/
https://github.com/sickcodes/security/blob/master/advisories/SICK-2022-42.md
https://github.com/zadewg/RIUS


Módulos de Metasploit relacionados con CVE-2022-28345

No hay módulos de metasploit relacionados con esta entrada de CVE (visite www.metasploit.com para más información)

Ninguna
Parcial
Ninguna
Bajo
No requerido
Ninguna
Señal

También te podría gustar...