Lenovo SHAREit传输未加密漏洞

CVE编号

CVE-2016-1489

利用情况

暂无

补丁情况

N/A

披露时间

2016-01-27

漏洞描述

Lenovo SHAREit（茄子快传）是中国联想（Lenovo）公司的一套文件共享软件。 Lenovo SHAREit for Windows 3.2.0之前版本和SHAREit for Android 3.5.48_ww之前版本中存在传输未加密漏洞，程序以明文形式传输文件。远程攻击者可通过嗅探网络利用该漏洞获取敏感信息，或实施中间人攻击。

解决建议

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接： https://support.lenovo.com/us/en/product_security/len_4058

参考链接
http://packetstormsecurity.com/files/135378/Lenovo-ShareIT-Information-Disclo...
http://seclists.org/fulldisclosure/2016/Jan/67
http://www.coresecurity.com/advisories/lenovo-shareit-multiple-vulnerabilities
http://www.securityfocus.com/archive/1/537365/100/0/threaded
https://support.lenovo.com/us/en/product_security/len_4058

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	lenovo	shareit	*		Up to (including) 2.5.1.1
	运行在以下环境
	应用	lenovo	shareit	*		Up to (including) 3.0.18_ww

CVSS3评分 8.0

• 攻击路径 相邻
• 攻击复杂度 高
• 权限要求 无
• 影响范围 已更改
• 用户交互 无
• 可用性 无
• 保密性 高
• 完整性 高

CVSS:3.0/AV:A/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:N

CWE-ID	漏洞类型
CWE-200	信息暴露

Exp相关链接

- avd.aliyun.com