Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en un sitio web en una petición de autenticación NTLM en manejador de URI personalizado en Viber para Windows (CVE-2020-14049)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
22/06/2020
Última modificación:
21/07/2021

Descripción

Viber para Windows versiones hasta 13.2.0.39, no cita correctamente su manejador de URI personalizado. Un sitio web malicioso podría iniciar Viber con parámetros arbitrarios, forzando a una víctima a enviar una petición de autenticación NTLM y retransmitir la petición o capturar el hash para descifrar contraseñas sin conexión. NOTA: este problema se presenta debido a una corrección incompleta para CVE-2019-12569

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:rakuten:viber:*:*:*:*:*:windows:*:* 13.2.0.39 (excluyendo)


Referencias a soluciones, herramientas e información