БДУ - Уязвимости

BDU:2023-02954: Уязвимость реализации стандарта открытой авторизации (OAuth) фреймворка Expo связана с недостаточной защитой регистрационных данных, позволяющая нарушителю получить регистрационные данные пользователя

Основная информация
Подробнее

Описание уязвимости

Уязвимость реализации стандарта открытой авторизации (OAuth) фреймворка Expo связана с недостаточной защитой регистрационных данных. Эксплуатация уязвимостей может позволить нарушителю, действующему удалённо, получить регистрационные данные пользователя

Вендор

Expo

Наименование ПО

Expo Software Development Kit (SDK)

Версия ПО

от 45.0.0 до 48.0.0

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Данные уточняются

Тип ошибки

Недостаточная защита регистрационных данных

Идентификатор типа ошибки

CWE-522

Класс уязвимости

Уязвимость кода

Дата выявления

24.04.2023

Базовый вектор уязвимости

CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,6)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- ограничить использование механизма регистрации/входа на веб-сайт через другие веб-сервисы (социальные сети).

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

Несанкционированный сбор информации

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://blog.expo.dev/security-advisory-for-developers-using-authsessions-useproxy-options-and-auth-expo-io-e470fe9346df
https://www.darkreading.com/endpoint/oauth-flaw-in-expo-platform-affects-hundreds-of-third-party-sites-apps

Идентификаторы других систем описаний уязвимостей

CVE: CVE-2023-28131

Прочая информация

Данные уточняются

Последние изменения

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

Описание уязвимости

Вендор

Наименование ПО

Версия ПО

Тип ПО

Операционные системы и аппаратные платформы

Тип ошибки

Идентификатор типа ошибки

Класс уязвимости

Дата выявления

Базовый вектор уязвимости

Уровень опасности уязвимости

Возможные меры по устранению уязвимости

Статус уязвимости

Наличие эксплойта

Способ эксплуатации

Способ устранения

Информация об устранении

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

Прочая информация