Vulnerabilidad en Element Android (CVE-2024-26132)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
29/02/2024
Última modificación:
14/02/2025
Descripción
Element Android es un cliente Matrix de Android. Una aplicación maliciosa de terceros instalada en el mismo teléfono puede obligar a Element Android, versión 0.91.0 a 1.6.12, a compartir archivos almacenados en el directorio "archivos" en el directorio de datos privados de la aplicación en una sala arbitraria. El impacto del ataque se reduce por el hecho de que las bases de datos almacenadas en esta carpeta están cifradas. Sin embargo, contiene otra información potencialmente confidencial, como el token FCM. Las bifurcaciones de Element Android que han configurado `android:exported="false"` en el archivo `AndroidManifest.xml` para la actividad `IncomingShareActivity` no se ven afectadas. Este problema se solucionó en Element Android 1.6.12. No se conoce ningún workaround para mitigar el problema.
Impacto
Puntuación base 3.x
4.00
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:element:element:*:*:*:*:*:android:*:* | 0.91.0 (incluyendo) | 1.6.12 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://element.io/blog/security-release-element-android-1-6-12
- https://github.com/element-hq/element-android/commit/8f9695a9a8d944cb9b92568cbd76578c51d32e07
- https://github.com/element-hq/element-android/security/advisories/GHSA-8wj9-cx7h-pvm4
- https://element.io/blog/security-release-element-android-1-6-12
- https://github.com/element-hq/element-android/commit/8f9695a9a8d944cb9b92568cbd76578c51d32e07
- https://github.com/element-hq/element-android/security/advisories/GHSA-8wj9-cx7h-pvm4