Aplikacja mobilna com.transsion.carlcare (Carlcare) posiada nieprawidłowo skonfigurowane uprawnienia, co może prowadzić do narażenia haseł i kont użytkowników. Podatność uzyskała ocenę CVSS 9.8, co klasyfikuje ją jako krytyczną.
▸ Pokaż oryginał (EN)
Improper permission settings for mobile applications (com.transsion.carlcare) may lead to user password and account security risks.
Błędna konfiguracja uprawnień (CWE-732) w aplikacji mobilnej com.transsion.carlcare powoduje, że wrażliwe zasoby lub funkcje aplikacji są dostępne w szerszym zakresie niż powinny. Nieprawidłowe zarządzanie uprawnieniami (CWE-280) może umożliwić nieautoryzowanym aplikacjom lub procesom dostęp do danych uwierzytelniających przechowywanych lub przetwarzanych przez aplikację. Wektor sieciowy (AV:N) bez wymagań dotyczących uwierzytelnienia lub interakcji użytkownika wskazuje, że podatność może być wykorzystana zdalnie.
Atakujący może uzyskać nieautoryzowany dostęp do haseł i danych konta użytkownika, co może prowadzić do pełnego przejęcia konta oraz naruszenia poufności, integralności i dostępności danych.
Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi przez Tecno Security Response Center pod adresem https://security.tecno.com/SRC/blogdetail/267?lang=en_US oraz https://security.tecno.com/SRC/securityUpdates
Aplikacja mobilna com.transsion.carlcare — wersje wskazane w referencjach producenta (Tecno/Transsion Security)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H