Vulnerabilidad en Tweetbot (CVE-2013-5726)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-352
Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
12/11/2013
Última modificación:
11/04/2025
Descripción
Tweetbot 1.3.3 para Mac, y 2.8.5 para iPad y iPhone, no requiere confirmación de (1) seguimiento o (2) acciones favoritas, lo que permite a atacantes remotos forzar automáticamente al usuario para realizar acciones no deseadas, tal y como se demostró a través de la URL tweetbot:///follow/.
Impacto
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:tapbots:tweetbot:1.3.3:-:*:*:*:mac:*:* | ||
| cpe:2.3:a:tapbots:tweetbot:2.8.5:-:*:*:*:ipad:*:* | ||
| cpe:2.3:a:tapbots:tweetbot:2.8.5:-:*:*:*:iphone:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://blog.binaryfactory.ca/2013/11/cve-2013-5726-tweetbot-for-ios-and-mac-user-disclosureprivacy-issue/
- http://osvdb.org/99256
- http://seclists.org/fulldisclosure/2013/Nov/9
- http://blog.binaryfactory.ca/2013/11/cve-2013-5726-tweetbot-for-ios-and-mac-user-disclosureprivacy-issue/
- http://osvdb.org/99256
- http://seclists.org/fulldisclosure/2013/Nov/9