CRITICAL🇬🇧 English

CVE-2024-44730

Mirotalk: fałszowanie wiadomości czatu przez nieprawidłową kontrolę dostępu

CVSS 9.1v3.1pub. 2024-10-11upd. 2026-04-15

Podatność w aplikacji do wideokonferencji Mirotalk umożliwia nieuwierzytelnionemu atakującemu fałszowanie wiadomości czatu z dowolną nazwą nadawcy. Oceniona jako CRITICAL (CVSS 9.1), stanowi poważne zagrożenie dla integralności komunikacji i możliwości podszywania się pod innych uczestników.

Pokaż oryginał (EN)

Incorrect access control in the function handleDataChannelChat(dataMessage) of Mirotalk before commit c21d58 allows attackers to forge chat messages using an arbitrary sender name.

🤖 Analiza AI
Jak działa

Błąd dotyczy funkcji handleDataChannelChat(dataMessage), odpowiedzialnej za obsługę wiadomości przesyłanych przez kanał danych. Nieprawidłowa kontrola dostępu (CWE-924 — improper enforcement of message or data structure) pozwala atakującemu na manipulację polem nadawcy wiadomości bez żadnego uwierzytelnienia. W efekcie możliwe jest wysłanie wiadomości czatu, która po stronie odbiorcy będzie wyświetlona jako pochodząca od dowolnej, wskazanej przez atakującego osoby.

Skutki

Atakujący może podszyć się pod dowolnego uczestnika sesji wideokonferencji i wysyłać fałszywe wiadomości czatu w jego imieniu, co zagraża integralności komunikacji oraz może prowadzić do ataków socjotechnicznych i naruszenia zaufania uczestników.

Mitygacja

Należy zaktualizować Mirotalk do wersji zawierającej commit c21d58 lub nowszej. Zaleca się pobranie aktualnego kodu źródłowego z oficjalnego repozytorium producenta na GitHub.

Kogo dotyczy

Mirotalk w wersjach przed commitem c21d58

Uwagi

Podatność została opisana w publikacji badaczy z Aware7 dotyczącej bezpieczeństwa systemów wideokonferencji (referencja: aware7.com).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje