Vulnerabilidad en wire-ios (CVE-2025-49846)

Gravedad CVSS v4.0:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

03/07/2025

Última modificación:

08/07/2025

Descripción

wire-ios es un cliente iOS para la aplicación de mensajería segura Wire. Desde Wire iOS 3.111.1 hasta versiones anteriores a la 3.124.1, los mensajes visibles en la ventana de visualización se registraban en los registros del sistema iOS en texto plano. Los registros de la aplicación Wire, creados y gestionados por la propia aplicación, no se vieron afectados, especialmente los registros que los usuarios pueden exportar y enviar al soporte de Wire. Solo se puede acceder a los registros iOS si alguien tenía acceso (físico) al dispositivo desbloqueado subyacente. El problema se manifestó al llamar a canOpenUrl() y pasar un objeto URL no válido. Cuando iOS realiza la comprobación y falla, registra el contenido en el registro del sistema. Este comportamiento no está documentado. Wire publicó una solución de emergencia en la versión 3.124.1. Como solución alternativa, los usuarios pueden restablecer su dispositivo iOS para eliminar los registros problemáticos. Dado que Wire no puede acceder ni modificar los registros del sistema iOS, la única solución alternativa es restablecerlos.

Impacto

Vector 4.0

CVSS:4.0/AV:L/AC:L/AT:P/PR:H/UI:P/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 4.10 MEDIA
Vector: CVSS:4.0/AV:L/AC:L/AT:P/PR:H/UI:P/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Passsive
Confidentiality (VC): Alto
Integrity (VI): Ninguno
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

4.10

Gravedad 4.0

MEDIA

Vulnerabilidad en wire-ios (CVE-2025-49846)

Descripción

Impacto

Referencias a soluciones, herramientas e información