Vulnerabilidad en Tinxy (CVE-2024-12094)

Gravedad CVSS v4.0:

MEDIA

Tipo:

CWE-312 Almacenamiento de información sensible en texto claro

Fecha de publicación:

05/12/2024

Última modificación:

15/04/2025

Descripción

Esta vulnerabilidad existe en la aplicación móvil Tinxy debido al almacenamiento de información de usuario conectado en texto plano en la base de datos del dispositivo. Un atacante con acceso físico al dispositivo rooted podría aprovechar esta vulnerabilidad accediendo a su base de datos, lo que daría lugar a un acceso no autorizado a información del usuario, como el nombre de usuario, la dirección de correo electrónico y el número de teléfono móvil.

Impacto

Vector 4.0

CVSS:4.0/AV:P/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L CVSS v4.0 Severidad y Métricas:

Puntuación base: 5.40 MEDIA
Vector: CVSS:4.0/AV:P/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L

Vector de acceso (AV): Físico
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Bajo
Integrity (SI): Bajo
Availability (SA): Bajo

Puntuación base 4.0

5.40

Gravedad 4.0

MEDIA

Referencias a soluciones, herramientas e información

https://www.cert-in.org.in/s2cMainServlet?pageid=PUBVLNOTES01&VLCODE=CIVN-2024-0355