Vulnerabilidad en wire-webapp (CVE-2025-48066)

wire-webapp es la aplicación web para el servicio de mensajería de código abierto Wire. Una corrección de error provocó una regresión que causaba un problema con la función de eliminación de datos locales. Indicar al cliente que elimine su base de datos local al cerrar sesión no implica la eliminación. Esto ocurre tanto con clientes temporales (que marcan el dispositivo como un equipo público al iniciar sesión) como con clientes normales que indican la eliminación de toda la información personal y las conversaciones al cerrar sesión. Se requiere acceso al equipo para acceder a los datos. Si se utiliza cifrado en reposo, no se puede exportar material criptográfico. El problema subyacente se ha solucionado con la versión 2025-05-14-production.0 de wire-webapp. Para mitigar el posible impacto, la base de datos debe eliminarse manualmente en los dispositivos donde se haya utilizado la opción "Este es un equipo público" antes de iniciar sesión o donde se haya producido previamente un cierre de sesión con la solicitud de eliminación de datos locales en las versiones afectadas.