Podatność CVE-2019-16263

Podatność CVE-2019-16263

Publikacja: 2019-10-07 Modyfikacja: 2019-10-08

Opis:

The Twitter Kit framework through 3.4.2 for iOS does not properly validate the api.twitter.com SSL certificate. Although the certificate chain must contain one of a set of pinned certificates, there are certain implementation errors such as a lack of hostname verification. NOTE: this is an end-of-life product.

Typ:

CWE-295

(Certificate Issues)

CVSS2 => (AV:N/AC:M/Au:N/C:P/I:P/A:N)

Ogólna skala CVSS	Znaczenie	Łatwość wykorzystania
5.8/10	4.9/10	8.6/10

Wymagany dostęp	Złożoność ataku	Autoryzacja
Zdalny	Średnia	Nie wymagana
Wpływ na poufność	Wpływ na integralność	Wpływ na dostępność
Częściowy	Częściowy	Brak

Affected software
Twitter -> Twitter kit

Referencje:

https://blog.appicaptor.com/2019/10/04/vulnerable-library-warning-twitterkit-for-ios/

https://github.com/twitter-archive/twitter-kit-ios/blob/ac42e1351a66afa5ff7718d04d64a905dafe1f41/TwitterCore/TwitterCore/Networking/Security/TWTRServerTrustEvaluator.m#L75-L81

https://www.sit.fraunhofer.de/fileadmin/dokumente/CVE/Advisory_TwitterKit_for_iOS_CVE-2019-16263.pdf

Podatność CVE-2019-16263

CWE-295

CVSS2 => (AV:N/AC:M/Au:N/C:P/I:P/A:N)

5.8/10

4.9/10

8.6/10

Zdalny

Średnia

Nie wymagana

Częściowy

Częściowy

Brak

Affected software

Referencje: