V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2025-32407
CVE
СреднийПодтвержденаЭксплойт есть

Samsung Internet for Galaxy Watch версии 5.0.9, доступный до Samsung Galaxy Watch 3, не проверяет должным образом сертификаты TLS, позволяя…

CVSS
5.9
Средний
EPSS
0.00
p16
Опубликовано
2025-01-01
Обновлено
2025-01-01
Описание

Samsung Internet for Galaxy Watch версии 5.0.9, доступный до Samsung Galaxy Watch 3, не проверяет должным образом сертификаты TLS, позволяя злоумышленнику выдать себя за любой веб-сайт, посещаемый пользователем. Это критическая ошибка в проверке подлинности сервера. Она сводит на нет использование HTTPS в качестве безопасного канала, позволяя проводить атаки Man-in-the-Middle, красть конфиденциальную информацию или изменять входящий и исходящий трафик [1]. В данном случае браузер не проверяет соответствие домена сертификата доменному имени веб-сайта. Это означает, что он примет любой сертификат TLS, выданный для любого произвольного домена, если он подписан доверенным центром сертификации. Таким образом, злоумышленник может получить бесплатный сертификат для контролируемого им домена и перехватить каждый TLS-соединение, исходящее от приложения. Источники: - [1] https://github.com/diegovargasj/CVE-2025-32407

Теги · CWE
Без аутентификации
CWE-295
CAPEC-459
CAPEC-475
Затронутые продукты
Internet
Вектор CVSS
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
Хронология
2025-01-01
Опубликована
2025-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: H
Высокая (H)
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: H
Высокое (H)
Воздействие на целостность
I: N
Отсутствует (N)
Воздействие на доступность
A: N
Отсутствует (N)
Индикаторы эксплуатации
EPSS
0.003 · p16
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
CVE-2025-32407
github-poc · https://github.com/diegovargasj/CVE-2025-32407
Enterprise
Затронутые продукты
ПродуктВендорСтатус
internet*Отслеживается
Источники данных
CVE