Vulnerabilidad en el archivo peerflow/sdp.c en la función sdp_media_set_lattr en el parámetro value en Wire AVS (Audio, Video, y Signaling), Wire Secure Messenger para Android y Wire Secure Messenger para iOS (CVE-2020-27853)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-134
Utilización de formatos de cadenas de control externo
Fecha de publicación:
27/10/2020
Última modificación:
07/12/2020
Descripción
Wire antes de 16-10-2020, permite a atacantes remotos causar una denegación de servicio (bloqueo de aplicación) o posiblemente ejecutar código arbitrario por medio de una cadena de formato. Esto afecta a Wire AVS (Audio, Video, y Signaling) versiones 5.3 hasta 6.x anteriores a 6.4, la aplicación Wire Secure Messenger versiones anteriores a 3.49.918 para Android y la aplicación Wire Secure Messenger versiones anteriores a 3.61 para iOS. Esto ocurre por medio del parámetro value en la función sdp_media_set_lattr en el archivo peerflow/sdp.c.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:wire:wire:*:*:*:*:*:linux:*:* | 3.21.2936 (excluyendo) | |
| cpe:2.3:a:wire:wire:*:*:*:*:*:windows:*:* | 3.21.3932 (excluyendo) | |
| cpe:2.3:a:wire:wire:*:*:*:*:*:macos:*:* | 3.21.3959 (excluyendo) | |
| cpe:2.3:a:wire:wire_-_audio\,_video\,_and_signaling:*:*:*:*:*:*:*:* | 5.3 (incluyendo) | 6.4 (excluyendo) |
| cpe:2.3:a:wire:wire_secure_messenger:*:*:*:*:*:android:*:* | 3.49.918 (excluyendo) | |
| cpe:2.3:a:wire:wire_secure_messenger:*:*:*:*:*:iphone_os:*:* | 3.61 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página