Vulnerabilidad en la aplicación Voatz para Android (CVE-2020-8989)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

13/02/2020

Última modificación:

27/02/2020

Descripción

En la aplicación Voatz 2020-01-01 para Android, la cantidad de datos transmitidos durante el voto de un solo votante depende de las diferentes longitudes de metadatos por medio de las opciones de votación disponibles, facilitando a atacantes remotos descubrir esta elección del votante rastreando la red. Por ejemplo, una pequeña cantidad de datos analizados puede indicar que se emitió un voto para el candidato con la menor cantidad de metadatos. Un atacante de tipo man-in-the-middle puede aprovechar este comportamiento para alterar las habilidades de los votantes para votar por un candidato al que se oponga el atacante.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

5.30

Gravedad 3.x

MEDIA

Vector 2.0

AV:N/AC:L/Au:N/C:P/I:N/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.00 MEDIA
Vector: AV:N/AC:L/Au:N/C:P/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno