Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la contraseña de usuario mediante formulario de registro de TronLink Wallet (CVE-2019-13098)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-532 Exposición de información a través de archivos de log
Fecha de publicación:
22/07/2019
Última modificación:
24/07/2019

Descripción

La contraseña de usuario por medio del formulario de registro de TronLink Wallet versión 2.2.0 es almacenada en el registro cuando se llama a la clase CreateWalletTwoActivity. Otros usuarios autenticados pueden leerlo en el registro más adelante. Los datos registrados pueden ser leídos utilizando Logcat en el dispositivo. Cuando se usan plataformas anteriores a Android versión 4.1 (Jelly Bean), los datos de registro no se encuentran en un sandbox por aplicación; Cualquier aplicación instalada en el dispositivo tiene la capacidad de leer datos registrados por otras aplicaciones.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:tronlink:wallet:2.2.0:*:*:*:*:*:*:*
cpe:2.3:o:google:android:*:*:*:*:*:*:*:* 4.1 (excluyendo)


Referencias a soluciones, herramientas e información