PT-2020-14110 · Yubico · Yubikey 5 Nfc
Publicado
2020-07-09
·
Atualizado
2021-07-21
·
CVE-2020-15001
CVSS v3.1
5.3
Média
| Vetor | AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Dispositivos Yubico YubiKey 5 NFC, versões 5.0.0 a 5.2.6
Dispositivos Yubico YubiKey 5 NFC, versões 5.3.0 a 5.3.1
Descrição
Foi detectado um vazamento de informações no aplicativo OTP, que permite aos usuários definir códigos de acesso opcionais nos slots OTP. No entanto, o código de acesso não é verificado ao atualizar componentes específicos de NFC das configurações de OTP. Isso pode permitir que um invasor acesse OTPs configurados e senhas armazenadas em slots que não foram configurados pelo usuário para serem lidos via NFC, mesmo que o usuário tenha definido um código de acesso. Usuários que não definiram um código de acesso ou que não configuraram os slots de OTP não são afetados por este problema.
Recomendações
Para as versões 5.0.0 a 5.2.6, considere desativar a funcionalidade NFC para slots OTP até que uma correção esteja disponível.
Para as versões 5.3.0 a 5.3.1, considere desativar a funcionalidade NFC para slots OTP até que uma correção esteja disponível.
Como solução alternativa temporária, considere restringir o acesso ao aplicativo OTP para minimizar o risco de exploração.
Exploit
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Yubikey 5 Nfc