PT-2022-15044 · Unknown · Onionshare

Micahflee

·

Publicado

2022-01-18

·

Atualizado

2024-06-15

·

CVE-2022-21692

CVSS v4.0

5.3

Média

VetorAV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas
Versões do OnionShare anteriores à versão corrigida
Descrição
O OnionShare é uma ferramenta de código aberto que permite aos usuários compartilhar arquivos, hospedar sites e conversar com amigos de forma segura e anônima usando a rede Tor. Nas versões afetadas, qualquer pessoa com acesso ao ambiente de bate-papo pode escrever mensagens fingindo ser outro participante do bate-papo. Esse problema se deve a um controle de acesso inadequado, permitindo que um invasor se passe por participantes existentes do bate-papo e escreva mensagens, mas não leia a conversa.
Recomendações
  • Implemente um gerenciamento de sessão adequado para impedir o acesso não autorizado ao ambiente de bate-papo.
  • Como solução temporária, considere restringir o acesso ao ambiente de bate-papo até que um patch esteja disponível.
  • Evite usar a função update username para escolher um nome de usuário existente no bate-papo até que o problema seja resolvido.
  • Restrinja a modificação do script chat.js no depurador interno do navegador para impedir a exploração.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

Improper Authentication

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-287

Identificadores relacionados

CVE-2022-21692
GHSA-GJJ5-998G-V36V
OPENSUSE-SU-2024:11983-1
OPENSUSE-SU-2024:13635-1
PYSEC-2022-43

Produtos afetados

Onionshare