PT-2020-6904 · Unknown+1 · React Native Bluetooth Scan+1
Thai Duong
·
Publicado
2020-04-27
·
Atualizado
2024-08-04
·
CVE-2020-12270
CVSS v3.1
6.5
Média
| Vetor | AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Bluezone versão 1.0.0
Descrição
O problema está relacionado ao uso de valores aleatórios insuficientes no componente React Native Bluetooth Scan do aplicativo Bluezone. Isso poderia permitir que um invasor remoto interferisse no rastreamento de contatos da COVID-19 usando vários IDs. O fornecedor contesta a relevância deste relatório, afirmando que o destinatário de um alerta saberá que se trata de um falso alerta caso a comparação do histórico de contatos falhe.
Recomendações
Para a versão 1.0.0 do Bluezone, considere restringir o uso do componente React Native Bluetooth Scan até que uma correção esteja disponível. Como solução alternativa temporária, evite usar os IDs alfanuméricos de seis caracteres no componente afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Use of Insufficiently Random Values
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Bluezone
React Native Bluetooth Scan