Vulnerabilidad en Ourphoto (CVE-2022-24187)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
28/11/2022
Última modificación:
29/04/2025
Descripción
Los endpoints user_id y device_id en la versión 1.4.1 /device/* de la aplicación Ourphoto sufren vulnerabilidades inseguras de referencia directa a objetos. Otros valores de user_id y device_id de usuarios finales se pueden enumerar incrementando o disminuyendo los números de identificación. El impacto de esta vulnerabilidad permite a un atacante descubrir información confidencial, como direcciones de correo electrónico de los usuarios finales, y su valor frame_token único de todos los demás usuarios finales de la aplicación Ourphoto.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:sz-fujia:ourphoto:1.4.1:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://apps.apple.com/us/app/ourphoto-keep-our-memories/id1476241568
- https://www.scrawledsecurityblog.com/2022/11/automating-unsolicited-richard-pics.html
- https://apps.apple.com/us/app/ourphoto-keep-our-memories/id1476241568
- https://www.scrawledsecurityblog.com/2022/11/automating-unsolicited-richard-pics.html