Vulnerabilidad en Good for Enterprise para Android (CVE-2015-9232)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-345 Verificación insuficiente de autenticidad de los datos

Fecha de publicación:

20/09/2017

Última modificación:

20/04/2025

Descripción

La aplicación Good for Enterprise 3.0.0.415 para Android no emplea protección de firmas para su intent API Authentication Delegation. Además, el proceso de activación de la aplicación Good Dynamic no intenta detectar intentos de activación maliciosa relacionados con los nombres modificados que comienzan con una substring com.good.gdgma. Por lo tanto, un atacante podría obtener acceso a los datos de la Intranet. Este problema sólo es relevante en los casos en los que el usuario ya ha descargado una aplicación Android maliciosa.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

5.30

Gravedad 3.x

MEDIA

Vector 2.0

AV:N/AC:H/Au:N/C:P/I:N/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 2.60 BAJA
Vector: AV:N/AC:H/Au:N/C:P/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno