Vulnerabilidad en HSTS en un número limitado de dominios en diversos productos Apple (CVE-2019-8834)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
27/10/2020
Última modificación:
30/10/2020
Descripción
Se abordó un problema de configuración con restricciones adicionales. Este problema se corrigió en tvOS versión 13.3, watchOS versión 6.1.1, iCloud para Windows versión 10.9, macOS Catalina versión 10.15.2, Security Update 2019-002 Mojave y Security Update 2019-007 High Sierra, iOS versión 13.3 y iPadOS versión 13.3, iTunes versión 12.10.3 para Windows, iCloud para Windows versión 7.16. Un atacante en una posición de red privilegiada puede ser capaz de omitir HSTS para un número limitado de dominios de nivel superior específicos que anteriormente no estaban en la lista de precarga de HSTS
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apple:icloud:*:*:*:*:*:windows:*:* | 7.16 (excluyendo) | |
| cpe:2.3:a:apple:icloud:*:*:*:*:*:windows:*:* | 10.0 (incluyendo) | 10.9 (excluyendo) |
| cpe:2.3:a:apple:itunes:*:*:*:*:*:windows:*:* | 12.10.3 (excluyendo) | |
| cpe:2.3:o:apple:ipados:*:*:*:*:*:*:*:* | 13.3 (excluyendo) | |
| cpe:2.3:o:apple:iphone_os:*:*:*:*:*:*:*:* | 13.3 (excluyendo) | |
| cpe:2.3:o:apple:mac_os_x:*:*:*:*:*:*:*:* | 10.15.2 (excluyendo) | |
| cpe:2.3:o:apple:tvos:*:*:*:*:*:*:*:* | 13.3 (excluyendo) | |
| cpe:2.3:o:apple:watchos:*:*:*:*:*:*:*:* | 6.1.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página