Vulnerabilidad en el archivo messageviewer/src/viewer/viewer_p.cpp en la función ViewerPrivate::deleteAttachment en KDE Messagelib (CVE-2021-31855)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-312 Almacenamiento de información sensible en texto claro

Fecha de publicación:

02/06/2021

Última modificación:

08/11/2023

Descripción

KDE Messagelib versiones hasta 5.17.0, revela el texto sin cifrar de los mensajes cifrados en algunas situaciones. Eliminar un adjunto de un mensaje cifrado descifrado almacenado en un servidor remoto (por ejemplo, un servidor IMAP) hace que KMail cargue el contenido descifrado del mensaje en el servidor remoto. Con un mensaje diseñado, un usuario podría ser engañado para descifrar un mensaje cifrado y luego eliminar un archivo adjunto a este mensaje. Si el atacante tiene acceso a los mensajes almacenados en el servidor de correo electrónico, entonces el atacante podría leer el contenido descifrado del mensaje cifrado. Esto ocurre en la función ViewerPrivate::deleteAttachment en el archivo messageviewer/src/viewer/viewer_p.cpp

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

6.50

Gravedad 3.x

MEDIA

Vector 2.0

AV:N/AC:L/Au:S/C:P/I:N/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.00 MEDIA
Vector: AV:N/AC:L/Au:S/C:P/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno