PT-2024-21638 · Microsoft · Msal.Net
Ntc-Swiss-Team
·
Publicado
2024-04-16
·
Atualizado
2024-04-17
·
CVE-2024-27086
CVSS v3.1
3.9
Baixa
| Vetor | AV:L/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:L |
Nome do software vulnerável e versões afetadas
MSAL.NET, versões 4.48.0 a 4.60.0
Descrição
Um aplicativo malicioso em execução no dispositivo Android de um cliente pode causar negação de serviço local contra aplicativos criados com o MSAL.NET para autenticação no mesmo dispositivo, devido a uma configuração incorreta de exportação de atividades. Isso pode impedir que o usuário do aplicativo legítimo faça login. Além disso, um aplicativo malicioso pode injetar HTML/JavaScript em uma visualização da web incorporada exportada pelos aplicativos afetados.
Recomendações
Para as versões 4.48.0 a 4.60.0 do MSAL.NET, atualize para a versão 4.60.1 ou posterior do MSAL.NET para resolver o problema.
Como solução alternativa temporária, os desenvolvedores podem marcar explicitamente a atividade do MSAL.NET como não exportada, definindo
android:exported=“false” na configuração da atividade.Exploit
Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Msal.Net