Vulnerabilidad en Wire-ios (CVE-2022-23625)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

11/03/2022

Última modificación:

18/03/2022

Descripción

Wire-ios es una aplicación de mensajería que usando el protocolo wire en la plataforma ios de apple. En versiones anteriores a 3.95, los identificadores de recursos malformados pueden hacer que el cliente Wire de iOS sea completamente inusable al causar que sea bloqueado repetidamente al iniciarse. Estos identificadores de recursos malformados pueden ser generados y enviados entre usuarios de Wire. La causa root es encontrada en [wireapp/wire-ios-transport](https://github.com/wireapp/wire-ios-transport), donde el código responsable de eliminar los tokens confidenciales antes del registro puede fallar y conllevar a un fallo (excepción Swift) de la aplicación. Esto causa un comportamiento no deseable, sin embargo el sistema Wire (mayor) sigue siendo funcional. Es recomendado a usuarios actualizar lo antes posible. No se presentan medidas de mitigación conocidas para este problema

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

6.50

Gravedad 3.x

MEDIA

Vector 2.0

AV:N/AC:L/Au:S/C:N/I:N/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.00 MEDIA
Vector: AV:N/AC:L/Au:S/C:N/I:N/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Físico