Vulnerabilidad en SimpleXMQ y SimpleX Chat (CVE-2022-45195)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-327
Uso de algoritmo criptográfico vulnerable o inseguro
Fecha de publicación:
12/11/2022
Última modificación:
01/05/2025
Descripción
SimpleXMQ anterior a 3.4.0, tal como se usa en SimpleX Chat anterior a 4.2, no aplica una función de derivación de clave a los datos deseados, lo que puede interferir con el secreto directo y puede tener otros impactos si se compromete una única clave privada. Esto ocurre en el intercambio de claves X3DH para el protocolo de doble trinquete.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:simplex:simplex_chat:*:*:*:*:*:*:*:* | 4.2 (excluyendo) | |
| cpe:2.3:a:simplex:simplexmq:*:*:*:*:*:*:*:* | 3.4.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/simplex-chat/simplexmq/compare/v3.3.0...v3.4.0
- https://github.com/simplex-chat/simplexmq/pull/548
- https://github.com/trailofbits/publications/blob/master/reviews/SimpleXChat.pdf
- https://simplex.chat/blog/20221108-simplex-chat-v4.2-security-audit-new-website.html
- https://github.com/simplex-chat/simplexmq/compare/v3.3.0...v3.4.0
- https://github.com/simplex-chat/simplexmq/pull/548
- https://github.com/trailofbits/publications/blob/master/reviews/SimpleXChat.pdf
- https://simplex.chat/blog/20221108-simplex-chat-v4.2-security-audit-new-website.html