Vulnérabilité dans le client de messagerie Wire
Date de publication :
CVE-2021-41093[Score CVSS v3.1: 7,4]
Une vulnérabilité a été découverte dans le client de messagerie instantanée Wire. Il s'agit d'un manque de contrôle dans la gestion d'un jeton de session.
Un attaquant peut utiliser un ancien jeton d’accès pour prendre le contrôle d’un compte et changer l’adresse email. Il est recommandé d’installer la mise à jour qui apporte une meilleure gestion du processus d’authentification. En effet, la mise à jour ajoute un contrôle supplémentaire via un cookie au niveau du jeton de la session en plus du contrôle de l'entête 'authorization".
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
-
Accès non autorisé
Contournement de sécurité
Elévation de privilèges
Criticité
-
Score CVSS v3.1: 7,4
CVE
Composants vulnérables
-
Les versions précédant Wire 3.86
Solutions ou recommandations
- Effectuer la mise à jour vers Wire 3.86
- Il existe aussi un patch disponible sur GitHub :
https://github.com/wireapp/wire-ios/commit/b0e7bb3b13dd8212032cb46e32edf701694687c7