Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en un archivo ZIP en los nombres de directorio en el servidor web de transferencia de archivos de aplicación en la aplicación Readdle Documents para iOS (CVE-2019-20802)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
18/05/2020
Última modificación:
19/05/2020

Descripción

Se detectó un problema en la aplicación Readdle Documents versiones anteriores a 6.9.7 para iOS. El servidor web de transferencia de archivos de aplicación muestra inapropiadamente los nombres de directorio, conllevando a un ataque de tipo XSS Almacenado, que puede ser usado para robar los datos del usuario. Esto requiere la interacción del usuario porque no existe una forma directa conocida para un atacante crear un nombre de directorio diseñado en el dispositivo de la víctima. Sin embargo, puede presentarse un nombre de directorio diseñado si una víctima extrae un archivo ZIP que fue proporcionado por un atacante.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:readdle:documents:*:*:*:*:*:iphone_os:*:* 6.9.7 (excluyendo)