PT-2021-4102 · Kde · Kde Messagelib
Ingo Klöcker
·
Publicado
2021-04-28
·
Atualizado
2024-06-15
·
CVE-2021-31855
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do KDE Messagelib anteriores à 5.17.0
Descrição
O problema está relacionado ao tratamento incorreto da exclusão de anexos em mensagens criptografadas descodificadas armazenadas em servidores remotos, como servidores IMAP. Quando um usuário exclui um anexo de uma mensagem criptografada descodificada, o conteúdo descodificado da mensagem é enviado para o servidor remoto. Isso poderia permitir que um invasor, com acesso às mensagens no servidor de e-mail, lesse o conteúdo descriptografado da mensagem criptografada. O problema é encontrado especificamente na função
ViewerPrivate::deleteAttachment em messageviewer/src/viewer/viewer p.cpp.Recomendações
Para versões do KDE Messagelib anteriores à 5.17.0, como solução temporária, considere desativar a função
deleteAttachment em ViewerPrivate até que um patch esteja disponível. Restrinja o acesso ao componente messageviewer/src/viewer/viewer p.cpp para minimizar o risco de exploração. Evite excluir anexos de mensagens criptografadas descriptografadas armazenadas em servidores remotos até que o problema seja resolvido.Correção
Cleartext Storage of Sensitive Information
Cleartext Transmission of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Kde Messagelib