CVE-2022-24188

Aplicativo Ourphoto, versão 1.4.1

O problema diz respeito à divulgação de informações de senha em texto simples para dispositivos de moldura digital através do endpoint “/device/signin”. Especificamente, as variáveis deviceVideoCallPassword e mqttPassword são retornadas em texto simples. Isso é agravado pela falta de gerenciamento de sessão e pela presença de referências diretas a objetos inseguras, o que permite a recuperação de informações de senha de dispositivos de outros usuários finais. Essas informações poderiam ser usadas para abusar da funcionalidade de videochamadas oferecida por muitos desses dispositivos.

Para a versão 1.4.1 do aplicativo Ourphoto, considere desativar o endpoint “/device/signin” até que uma correção esteja disponível para impedir a divulgação de informações de senha em texto simples. Restrinja o acesso às variáveis deviceVideoCallPassword e mqttPassword para minimizar o risco de exploração. Evite usar o endpoint “/device/signin” para fins de autenticação até que o problema seja resolvido.