Informazioni sul CVE-2024-27086
MSAL.NET applications targeting Xamarin Android and .NET Android (MAUI) susceptible to local denial of service
CWE ID: CWE-926
Base Score (CVSS): N/A
CVE: CVE-2024-27086
Descrizione: La libreria MSAL ha abilitato l’acquisizione di token di sicurezza per chiamare API protette. Le applicazioni MSAL.NET targettando Xamarin Android e .NET Android (ad es. MAUI) a partire dalle versioni 4.48.0 a 4.60.0 sono colpite da una vulnerabilità di basso livello. Un’applicazione dannosa in esecuzione su un dispositivo Android di un cliente può causare un denial of service locale contro applicazioni che sono state costruite con MSAL.NET per l’autenticazione sullo stesso dispositivo (cioè impedire all’utente di accedere legittimamente all’applicazione), a causa di una configurazione errata dell’esportazione dell’attività. La versione 4.60.1 di MSAL.NET include la soluzione. Come workaround, un sviluppatore può specificamente marcare l’attività non esportata di MSAL.NET.
Vettore di attacco CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:L
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Local, Privilegi: Low, Interazione utente: Required, Confidenzialità: None, Integrità: Low, Disponibilità: Low.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | L | Local | L’attaccante deve avere accesso locale al sistema. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | L | Low | Richiede pochi privilegi. |
| User Interaction (UI) | R | Required | È richiesta l’interazione di un utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | N | None | Nessun impatto sulla riservatezza. |
| Integrity Impact (I) | L | Low | Impatto limitato. |
| Availability Impact (A) | L | Low | Interferenza limitata. |
Riferimenti esterni
- https://github.com/AzureAD/microsoft-authentication-library-for-dotnet/security/advisories/GHSA-x674-v45j-fwxw
- https://github.com/AzureAD/microsoft-authentication-library-for-dotnet/commit/413e319472ccf48c86647f19fa2aa49ff6038488
Prodotti interessati
- AzureAD – microsoft-authentication-library-for-dotnet
Relazioni con altri prodotti
Produttore:AzureAD
Prodotto: microsoft-authentication-library-for-dotnet
Anno: 2024
CWE: CWE-926
CVSS: 0.0