PT-2021-22922 · Unknown · Com.Onepeloton.Erlich
Sam Quinn
·
Publicado
2021-10-25
·
Atualizado
2021-10-29
·
CVE-2021-40527
CVSS v3.1
8.6
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L |
Nome do software vulnerável e versões afetadas
com.onepeloton.erlich, versões até e incluindo a 1.7.22
Descrição
A exposição de informações confidenciais a um agente não autorizado na aplicação móvel permite que um invasor remoto acesse arquivos de desenvolvedor armazenados em um bucket do AWS S3, lendo credenciais armazenadas em texto simples dentro da aplicação.
Recomendações
Para versões até e incluindo a 1.7.22, atualize para uma versão que corrija a exposição de informações confidenciais para impedir o acesso não autorizado aos arquivos de desenvolvedor armazenados no bucket do AWS S3.
Como solução temporária, considere restringir o acesso ao bucket do AWS S3 até que um patch esteja disponível.
Correção
Cleartext Storage of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Com.Onepeloton.Erlich