← volver
CVE-2023-41991

CVE-2023-41991

CVSS 5.5 MEDIUMEPSS 4.5%● KEVCWE-295
En resumen

Una falla en la validación de certificados permitía que apps maliciosas eludieran verificaciones de firma en dispositivos Apple. Esto podría permitir a atacantes ejecutar código no autorizado o suplantar aplicaciones de confianza.

Detalle técnico

Omisión de validación de certificados (CWE-295) afectando iOS, iPadOS y macOS. Una app maliciosa podría eludir mecanismos de verificación de firma mediante una lógica defectuosa de validación de certificados. La vulnerabilidad fue explotada activamente en versiones de iOS anteriores a 16.7; corregida en macOS Ventura 13.6, iOS 16.7 e iPadOS 16.7.

Resumen generado y traducido por IA a partir de la descripción oficial.
A certificate validation issue was addressed. This issue is fixed in macOS Ventura 13.6, iOS 16.7 and iPadOS 16.7. A malicious app may be able to bypass signature validation. Apple is aware of a report that this issue may have been actively exploited against versions of iOS before iOS 16.7.
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N
Productos afectados
Apple · iOS and iPadOSApple · macOS
PoCs públicas encontradas2
githubgithub.com/itsgiddd/CVE-2023-419916githubgithub.com/dmytrozykov/appsign1
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://support.apple.com/en-us/HT213927https://support.apple.com/en-us/HT213931https://support.apple.com/kb/HT213927https://support.apple.com/kb/HT213931https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2023-41991