CVE-2019-14756

**Nome do software vulnerável e versões afetadas:

Versões do KaiOS 1.0 a 2.5.12.5

Descrição:

Foi detectada uma falha no aplicativo de e-mail pré-instalado, que está vulnerável a ataques de injeção de HTML e JavaScript. Um invasor pode enviar um e-mail especialmente criado à vítima, que injetará código HTML na interface do usuário do aplicativo de e-mail assim que o e-mail for aberto. Isso permite que um invasor assuma o controle da interface do usuário do aplicativo de e-mail, por exemplo, exibindo uma mensagem maliciosa solicitando que o usuário reinsira suas credenciais de e-mail, além de permitir que o invasor abuse de quaisquer privilégios disponíveis no aplicativo móvel.

Recomendações:

Para as versões do KaiOS 1.0 a 2.5.12.5, considere desativar o aplicativo de e-mail até que uma correção esteja disponível para prevenir ataques de injeção de HTML e JavaScript.

Restrinja o acesso à interface do usuário do aplicativo de e-mail para minimizar o risco de exploração.

Evite abrir e-mails suspeitos de remetentes desconhecidos para reduzir o risco de ataque.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.