PT-2020-10771 · Readdle · Readdle Documents
Michał Dardas
·
Publicado
2020-05-17
·
Atualizado
2021-07-21
·
CVE-2019-20801
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do aplicativo Readdle Documents anteriores à 6.9.7
Descrição
Foi descoberta uma falha no aplicativo Readdle Documents, na qual o servidor web de transferência de arquivos do aplicativo permite solicitações entre domínios de qualquer domínio, e o servidor WebSocket carece de controle de autorização. Isso permite que qualquer site execute código JavaScript que acesse os dados de um usuário por meio de solicitações entre domínios.
Recomendações
Para versões anteriores à 6.9.7, atualize para a versão 6.9.7 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao servidor web de transferência de arquivos e ao servidor WebSocket para minimizar o risco de exploração. Evite usar o aplicativo Readdle Documents até que o problema seja resolvido.
Exploit
Correção
Incorrect Authorization
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Readdle Documents