Vulnerabilidad en peticiones .ico HTTPS hacia servidores en el dominio duckduckgo.com en la aplicación DuckDuckGo para Android y para iOS (CVE-2020-15502)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
02/07/2020
Última modificación:
04/08/2024
Descripción
** EN DISPUTA ** La aplicación DuckDuckGo versiones hasta 5.58.0 para Android, y versiones hasta 7.47.1.0 para iOS, envía nombres de host de sitios web visitados dentro de peticiones .ico HTTPS hacia servidores en el dominio duckduckgo.com, lo que podría hacer que los datos de visita estén disponibles temporalmente en un Endpoint Potencialmente No Deseado. NOTA: el proveedor ha declarado que "the favicon service adheres to our strict privacy policy."
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:duckduckgo:duckduckgo:*:*:*:*:*:android:*:* | 5.58.0 (incluyendo) | |
| cpe:2.3:a:duckduckgo:duckduckgo:*:*:*:*:*:iphone_os:*:* | 7.47.1.0 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/duckduckgo/Android/blob/e2f2d54a6b4452277467db403a3546512401b493/app/src/main/java/com/duckduckgo/app/global/UriExtension.kt#L83-L88
- https://github.com/duckduckgo/Android/issues/527
- https://github.com/duckduckgo/iOS/blob/1ae03d7221180bd6791cf6f7f06922a96335cf75/Core/AppUrls.swift#L98-L100
- https://news.ycombinator.com/item?id=23708166
- https://news.ycombinator.com/item?id=23711597