Vulnerabilidad en Musicshelf 1.0/1.1 (CVE-2024-2365)

Gravedad CVSS v3.1:

BAJA

Tipo:

CWE-916 Uso de hash de contraseña generado con esfuerzo computacional insuficiente

Fecha de publicación:

11/03/2024

Última modificación:

26/02/2025

Descripción

Una vulnerabilidad fue encontrada en Musicshelf 1.0/1.1 en Android y clasificada como problemática. Una función desconocida del archivo io\fabric\sdk\android\services\network\PinningTrustManager.java del componente SHA-1 Handler es afectada por esta vulnerabilidad. La manipulación conduce a un hash de contraseña con un esfuerzo computacional insuficiente. Es posible lanzar el ataque al dispositivo físico. La complejidad de un ataque es bastante alta. La explotación parece difícil. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-256321.

Impacto

Vector 3.x

CVSS:3.1/AV:P/AC:H/PR:H/UI:N/S:U/C:L/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 1.60 BAJA
Vector: CVSS:3.1/AV:P/AC:H/PR:H/UI:N/S:U/C:L/I:N/A:N

Vector de acceso (AV): Físico
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

1.60

Gravedad 3.x

BAJA

Vector 2.0

AV:L/AC:H/Au:M/C:P/I:N/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 0.80 BAJA
Vector: AV:L/AC:H/Au:M/C:P/I:N/A:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Alto
Autenticación (Au): Múltiple
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno