CVE-2019-14757

**Nome do software vulnerável e versões afetadas:

Versões 2.5 a 2.5.1 do KaiOS

Descrição:

Foi descoberta uma falha no aplicativo Contatos pré-instalado, que é vulnerável a ataques de injeção de HTML e JavaScript. Um invasor pode enviar um arquivo vCard à vítima, injetando HTML no aplicativo Contatos caso a vítima importe o arquivo. Isso permite que o invasor assuma o controle da interface do usuário do aplicativo Contatos, exibindo potencialmente uma solicitação maliciosa ao usuário pedindo que ele reinsira suas credenciais e abuse de quaisquer privilégios disponíveis no aplicativo móvel.

Recomendações:

Para as versões 2.5 a 2.5.1 do KaiOS, considere desativar a importação de arquivos vCard no aplicativo Contatos até que uma correção esteja disponível para impedir ataques de injeção de HTML e JavaScript. Restrinja o acesso ao aplicativo Contatos para minimizar o risco de exploração. Evite usar o aplicativo Contatos para importar arquivos de fontes não confiáveis até que a falha seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.