Podatność w aplikacji do wideokonferencji Mirotalk umożliwia nieuwierzytelnionemu atakującemu fałszowanie wiadomości czatu z dowolną nazwą nadawcy. Oceniona jako CRITICAL (CVSS 9.1), stanowi poważne zagrożenie dla integralności komunikacji i możliwości podszywania się pod innych uczestników.
▸ Pokaż oryginał (EN)
Incorrect access control in the function handleDataChannelChat(dataMessage) of Mirotalk before commit c21d58 allows attackers to forge chat messages using an arbitrary sender name.
Błąd dotyczy funkcji handleDataChannelChat(dataMessage), odpowiedzialnej za obsługę wiadomości przesyłanych przez kanał danych. Nieprawidłowa kontrola dostępu (CWE-924 — improper enforcement of message or data structure) pozwala atakującemu na manipulację polem nadawcy wiadomości bez żadnego uwierzytelnienia. W efekcie możliwe jest wysłanie wiadomości czatu, która po stronie odbiorcy będzie wyświetlona jako pochodząca od dowolnej, wskazanej przez atakującego osoby.
Atakujący może podszyć się pod dowolnego uczestnika sesji wideokonferencji i wysyłać fałszywe wiadomości czatu w jego imieniu, co zagraża integralności komunikacji oraz może prowadzić do ataków socjotechnicznych i naruszenia zaufania uczestników.
Należy zaktualizować Mirotalk do wersji zawierającej commit c21d58 lub nowszej. Zaleca się pobranie aktualnego kodu źródłowego z oficjalnego repozytorium producenta na GitHub.
Mirotalk w wersjach przed commitem c21d58
Podatność została opisana w publikacji badaczy z Aware7 dotyczącej bezpieczeństwa systemów wideokonferencji (referencja: aware7.com).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N