PT-2020-6600 · Stashcat · Stashcat
Publicado
2020-05-27
·
Atualizado
2021-07-20
·
CVE-2020-13637
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
Aplicativo stashcat até a versão 3.9.2
Descrição
O problema diz respeito ao armazenamento inseguro de informações críticas, incluindo a
client key, o device id e a chave pública para criptografia de ponta a ponta, que são armazenadas em texto simples. Isso permite que um invasor, ao acessar o arquivo do banco de dados de armazenamento local, faça login no sistema a partir de qualquer outro computador e obtenha acesso ilimitado a todos os dados no contexto do usuário. A vulnerabilidade pode permitir que um invasor remoto divulgue informações protegidas.Recomendações
Para o aplicativo stashcat até a versão 3.9.2, considere atualizar para uma versão que armazene com segurança informações confidenciais, como
client key, device id e a chave pública, a fim de impedir o acesso não autorizado. Como solução alternativa temporária, restrinja o acesso ao arquivo do banco de dados de armazenamento local para minimizar o risco de exploração.Correção
Cleartext Storage of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Stashcat