Vulnerabilidad en la transmisión sin cifrar en la aplicación TikTok para Android e iOS (CVE-2019-14319)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-319
Transmisión de información sensible en texto claro
Fecha de publicación:
04/09/2019
Última modificación:
24/08/2020
Descripción
La aplicación TikTok (anteriormente Musical.ly) versión 12.2.0 para Android e iOS, realiza una transmisión sin cifrar de imágenes, videos y likes. Esto permite a un atacante extraer información confidencial privada mediante la detección del tráfico de la red.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
3.30
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:tiktok:tiktok:12.2.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:tiktok:tiktok:12.3.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:tiktok:tiktok:12.4.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:tiktok:tiktok:12.5.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:tiktok:tiktok:12.6.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:tiktok:tiktok:12.6.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:tiktok:tiktok:12.7.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:tiktok:tiktok:12.8.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:apple:iphone_os:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:google:android:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://p16.muscdn.com/img/musically-maliva-obj/1626792871331845~c5_100x100.jpeg
- http://p16.muscdn.com/img/tos-maliva-p-0068/d9e7889f4f2d43028b41947cb0950c32~noop.image
- https://github.com/MelroyB/CVE-2019-14319/blob/master/CVE%202019-14319%20.pdf
- https://play.google.com/store/apps/details?id=com.zhiliaoapp.musically&hl=en_US