Vulnerabilidad en el Registro (Sign-In) de Google con Google API C++ Client (CVE-2018-20840)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

30/05/2019

Última modificación:

31/05/2019

Descripción

Se presenta una vulnerabilidad de excepción no controlada durante el Registro (Sign-In) de Google con Google API C++ Client anterior a la 10-04-2019. Es posible que genere una interrupción de los servicios de terceros que no fueron creados para recuperarse de las excepciones. En el cliente, el manejo del token ID puede producir una excepción no controlada debido a una inapropiada interpretación de un entero como una cadena, lo que conlleva una Denegación de Servicio y entonces otros usuarios ya no pueden iniciar sesión (login) o registrarse (sign-in) en el servicio de terceros impactado. Una vez que este servicio de terceros utiliza el registro (sign-in) de Google con google-api-cpp-client, un usuario malicioso puede activar la vulnerabilidad de client/auth/oauth2_authorization.cc mediante una petición al cliente que reciba el token de ID desde un servidor de autenticación de Google.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.60 ALTA
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

8.60

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:L/Au:N/C:N/I:N/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.00 MEDIA
Vector: AV:N/AC:L/Au:N/C:N/I:N/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Físico