Vulnerabilidad en cordova-plugin-fingerprint-aio (CVE-2021-43849)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
23/12/2021
Última modificación:
11/01/2022
Descripción
cordova-plugin-fingerprint-aio es un plugin que proporciona una interfaz única y sencilla para acceder a las API de huellas dactilares tanto en Android 6+ como en iOS. En versiones anteriores a 5.0.1 la actividad exportada "de.niklasmerz.cordova.biometric.BiometricActivity" puede causar un bloqueo de la aplicación. Esta vulnerabilidad es producida porque la actividad no maneja el caso de que es solicitado con datos no válidos o vacíos, lo que resulta en un bloqueo. Cualquier aplicación de terceros puede llamar constantemente a esta actividad sin permiso. Una aplicación de terceros/atacante usando un escuchador de eventos puede detener continuamente el funcionamiento de la aplicación y hacer que la víctima no pueda abrirla. La versión 5.0.1 del cordova-plugin-fingerprint-aio ya no exporta la actividad y ya no es vulnerable. Si quieres arreglar versiones anteriores cambia el atributo android:exported en el plugin.xml a false. Actualiza a versión 5.0.1 lo antes posible
Impacto
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
2.10
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cordova_plugin_fingerprint_all-in-one_project:cordova_plugin_fingerprint_all-in-one:*:*:*:*:node.js:*:*:* | 5.0.1 (excluyendo) | |
| cpe:2.3:o:apple:iphone_os:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:google:android:*:*:*:*:*:*:*:* | 6.0 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página