PT-2024-20001 · Unknown+1 · Musicshelf+1

Affan

·

Publicado

2024-03-10

·

Atualizado

2025-03-31

·

CVE-2024-2365

CVSS v3.1

4.2

Média

VetorAV:P/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
Nome do software vulnerável e versões afetadas
Musicshelf, versões 1.0 a 1.1
Descrição
Foi encontrada uma vulnerabilidade problemática no Musicshelf para Android, afetando uma funcionalidade desconhecida do arquivo iofabricsdkandroidservices etworkPinningTrustManager.java do componente SHA-1 Handler. A manipulação leva à obtenção do hash da senha com esforço computacional insuficiente. É possível lançar o ataque no dispositivo físico. A complexidade de um ataque é bastante alta, e a exploração parece ser difícil.
Recomendações
Para as versões 1.0 a 1.1 do Musicshelf, considere restringir o acesso ao arquivo PinningTrustManager.java para minimizar o risco de exploração até que um patch esteja disponível.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-916

Identificadores relacionados

CVE-2024-2365
OPENSUSE-SU-2024:14598-1
OPENSUSE-SU-2025_0226-1
OPENSUSE-SU-2025_1062-1
SUSE-SU-2025:0226-1
SUSE-SU-2025_0226-1

Produtos afetados

Musicshelf
Suse