Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el puente de red native-to-JS en Firefox para iOS (CVE-2020-6830)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-200 Revelación de información
Fecha de publicación:
26/05/2020
Última modificación:
28/05/2020

Descripción

Para el puente de red native-to-JS, la aplicación requiere que un token único que sea pasado garantice que el código que no sea de la aplicación no pueda llamar a las funciones del puente de red. Ese token también estaba siendo utilizado para JS-to-native, pero no es necesario en este caso, y su uso también estaba filtrando este token. Esta vulnerabilidad afecta a Firefox para iOS versiones anteriores a 25.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:iphone_os:*:* 25.0 (excluyendo)