PT-2021-19904 · Muwire · Muwire
Zlatinb
·
Publicado
2021-07-15
·
Atualizado
2022-07-02
·
CVE-2021-32750
CVSS v3.1
6.8
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do MuWire anteriores à 0.8.8
Descrição
A vulnerabilidade permite que um invasor identifique os usuários do cliente de desktop MuWire enviando uma mensagem cujo assunto contenha uma URL com uma tag de imagem HTML. Quando o cliente MuWire tenta carregar a imagem pela rede aberta (clearnet), ele expõe o endereço IP do usuário.
Recomendações
Para versões anteriores à 0.8.8, atualize para o MuWire 0.8.8 para resolver o problema.
Como solução alternativa temporária, considere desativar a funcionalidade de mensagens para impedir que outros usuários enviem mensagens maliciosas.
Exploit
Correção
Information Disclosure
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Muwire