Headline
CVE-2023-3612: SK-CERT Bezpečnostné varovanie V20230811-10 ~ SK-CERT
Govee Home app has unprotected access to WebView component which can be opened by any app on the device. By sending an URL to a specially crafted site, the attacker can execute JavaScript in context of WebView or steal sensitive user data by displaying phishing content.
Dôležitosť
Kritická
Klasifikácia
Neutajované/TLP:CLEAR
**CVSS Skóre
**
8.2
Identifikátor
Govee Home – bezpečnostná zraniteľnosť
Popis
Vývojári aplikácie Govee Home vydali bezpečnostnú aktualizáciu, ktorá opravuje bezpečnostnú zraniteľnosť.
Bezpečnostná zraniteľnosť umožňuje nezabezpečený prístup k WebView aplikácie a vzdialený neautentifikovaný útočník by ju prostredníctvom podvrhnutia URL na špeciálne vytvorený webový obsah mohol zneužiť na vykonanie škodlivého kódu alebo získanie citlivých údajov prostredníctvom zobrazenia phishingového obsahu.
Zneužitie zraniteľnosti vyžaduje interakciu používateľa.
Dátum prvého zverejnenia varovania
10.08.2023 (posledná aktualizácia 17.08.2023)
****Zasiahnuté systémy****
Govee Home (Android, iOS) vo verzii staršej ako 5.8.01 (vydanej 17.08.2023)
Následky
Vykonanie škodlivého kódu
Neoprávnený prístup k citlivým údajom
Odporúčania
Používateľom odporúčame vykonať aktualizáciu zasiahnutých systémov.
Rovnako odporúčame poučiť používateľov, aby neotvárali URL odkazy a prílohy z neoverených zdrojov.
« Späť na zoznam
Related news
Govee Home app has unprotected access to WebView component which can be opened by any app on the device. By sending an URL to a specially crafted site, the attacker can execute JavaScript in context of WebView or steal sensitive user data by displaying phishing content.