将敏感信息插入到 react-native-mmkv 的日志文件中 (CVE-2024-21668)

admin
admin
admin
0
文章
0
评论
2024-01-10 17:13:54 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
将敏感信息插入到 react-native-mmkv 的日志文件中 (CVE-2024-21668)

CVE编号

CVE-2024-21668

利用情况

暂无

补丁情况

N/A

披露时间

2024-01-10
漏洞描述
react-native-mmkv是一个允许在React Native应用程序中轻松使用MMKV的库,在2.11.0版本之前,react-native-mmkv将可选的MMKV数据库加密密钥记录到Android系统日志中。如果在手机设置中启用了Android调试桥(ADB),任何人都可以通过ADB获取该密钥。这个漏洞在iOS设备上不存在。通过将加密密钥记录到系统日志中,攻击者可以轻松地启用ADB并破坏应用程序的线程模型来轻松恢复密钥。该问题在2.11.0版本中已修复。
解决建议
"将组件 react-native-mmkv 升级至 2.11.0 及以上版本"
参考链接
https://github.com/mrousavy/react-native-mmkv/commit/a8995ccb7184281f7d168bad...
https://github.com/mrousavy/react-native-mmkv/releases/tag/v2.11.0
https://github.com/mrousavy/react-native-mmkv/security/advisories/GHSA-4jh3-6jhv-2mgp
CVSS3评分 4.4
  • 攻击路径 本地
  • 攻击复杂度 低
  • 权限要求 高
  • 影响范围 未更改
  • 用户交互 无
  • 可用性 无
  • 保密性 高
  • 完整性 无
CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
CWE-ID 漏洞类型
CWE-532 通过日志文件的信息暴露
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-9120利用情况 暂无补丁情况 N/A披露时间 2024-09-23漏洞描述Use after free in Dawn
09-260 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0