Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en LINE (CVE-2024-5739)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
12/06/2024
Última modificación:
29/03/2025

Descripción

El navegador integrado en la aplicación del cliente LINE para versiones de iOS inferiores a 14.9.0 contiene una vulnerabilidad Universal XSS (UXSS). Esta vulnerabilidad permite cross-site scripting (XSS), donde se puede ejecutar JavaScript arbitrario en el framework superior desde un iframe incrustado en cualquier sitio web mostrado dentro del navegador de la aplicación. El navegador de la aplicación generalmente se abre tocando las URL contenidas en los mensajes de chat y, para que el ataque tenga éxito, la víctima debe activar un evento de clic en un iframe malicioso. Si un atacante puede controlar un iframe incrustado en cualquier sitio web, esta vulnerabilidad podría aprovecharse para capturar o alterar el contenido que se muestra en el framework superior, así como la información de la sesión del usuario. Esta vulnerabilidad afecta al cliente LINE para versiones de iOS inferiores a 14.9.0 y no afecta a otros clientes LINE, como el cliente LINE para Android. Actualice el cliente LINE para iOS a la versión 14.9.0 o superior.

Referencias a soluciones, herramientas e información