Gematik Authenticator надежно аутентифицирует пользователей для входа в цифровые приложения для здоровья. Версии до 4.16.0 уязвимы для захв…
Gematik Authenticator надежно аутентифицирует пользователей для входа в цифровые приложения для здоровья. Версии до 4.16.0 уязвимы для захвата потока аутентификации, что потенциально позволяет злоумышленникам аутентифицироваться с помощью идентификаторов пользователей-жертв, которые нажимают на вредоносную глубокую ссылку. Обновление Gematik Authenticator до версии 4.16.0 или выше, чтобы получить патч. Облака известных обходных пути нет.
Продукт устанавливает канал связи для обработки входящего запроса, инициированного субъектом, однако не обеспечивает надлежащей проверки того, что запрос поступает из ожидаемого источника.
https://cwe.mitre.org/data/definitions/940.html →Открыть в коллекции CWE →Злоумышленник через ранее установленное вредоносное приложение внедряет код в контекст веб-страницы, отображаемой компонентом WebView. С помощью внедрённого кода злоумышленник способен манипулировать DOM-деревом и cookie-файлами страницы, раскрывать конфиденциальную информацию и запускать атаки на веб-приложение изнутри веб-страницы.
https://capec.mitre.org/data/definitions/500.html →Открыть в коллекции CAPEC →Злоумышленник внедряет трафик в сетевое соединение цели. За счёт этого злоумышленник способен деградировать или прерывать соединение, а также потенциально изменять содержимое передаваемых данных. Данная атака не является флуд-атакой, поскольку злоумышленник не ставит целью исчерпание ресурсов. Вместо этого он формирует специфические входные данные, чтобы воздействовать на систему определённым образом.
https://capec.mitre.org/data/definitions/594.html →Открыть в коллекции CAPEC →В данном шаблоне атаки злоумышленник внедряет пакет сброса соединения в один или оба конца соединения цели. Тем самым злоумышленник может вынудить цель и/или сервер назначения разорвать соединение без необходимости непосредственной фильтрации трафика между ними.
https://capec.mitre.org/data/definitions/595.html →Открыть в коллекции CAPEC →Злоумышленник внедряет один или несколько TCP RST-пакетов к цели после того, как цель выполнила HTTP GET-запрос. Цель атаки — вынудить цель и/или целевой веб-сервер завершить TCP-соединение.
https://capec.mitre.org/data/definitions/596.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| authenticator | * | Отслеживается |