PT-2024-14074 · Kakao · Kakaotalk
Stulle123
·
Publicado
2024-06-03
·
Atualizado
2025-02-19
·
CVE-2023-51219
CVSS v3.1
9.6
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
KakaoTalk versão 10.4.3
Descrição
Uma falha na validação de links diretos permitiu que um invasor remoto direcionasse usuários a executar qualquer código JavaScript controlado pelo invasor dentro de um WebView. O impacto foi agravado pelo acionamento de outro WebView que vazou seu token de acesso no cabeçalho de uma solicitação HTTP. Por fim, esse token de acesso poderia ser usado para assumir o controle da conta de outro usuário e ler suas mensagens de chat.
Recomendações
Para o KakaoTalk versão 10.4.3, considere desativar a funcionalidade WebView até que uma correção esteja disponível para impedir a execução de JavaScript controlado pelo invasor. Restrinja o acesso a recursos confidenciais que possam vazar tokens de acesso para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
XSS
HTTP Request/Response Smuggling
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Kakaotalk