Vulnerabilidad en la contraseña de usuario mediante formulario de registro de TronLink Wallet (CVE-2019-13098)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-532
Exposición de información a través de archivos de log
Fecha de publicación:
22/07/2019
Última modificación:
24/07/2019
Descripción
La contraseña de usuario por medio del formulario de registro de TronLink Wallet versión 2.2.0 es almacenada en el registro cuando se llama a la clase CreateWalletTwoActivity. Otros usuarios autenticados pueden leerlo en el registro más adelante. Los datos registrados pueden ser leídos utilizando Logcat en el dispositivo. Cuando se usan plataformas anteriores a Android versión 4.1 (Jelly Bean), los datos de registro no se encuentran en un sandbox por aplicación; Cualquier aplicación instalada en el dispositivo tiene la capacidad de leer datos registrados por otras aplicaciones.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:tronlink:wallet:2.2.0:*:*:*:*:*:*:* | ||
cpe:2.3:o:google:android:*:*:*:*:*:*:*:* | 4.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página