CVE-2021-22565
Insufficient Granularity of Access Control in GAEN Notification Server
Em resumo
Um invasor pode desabilitar códigos de verificação que os pacientes usam para reportar exposição à COVID, impedindo que compartilhem seus dados de exposição com pessoas que tiveram contato.
Detalhe técnico
O GAEN Notification Server apresenta granularidade insuficiente de controle de acesso (CWE-284), permitindo que um atacante expire prematuramente códigos de verificação e impeça usuários legítimos de enviar Temporary Exposure Keys (TEKs) e gerar notificações de exposição. Trata-se de um ataque pré-autenticação que afeta a confidencialidade e disponibilidade do sistema.
Resumo gerado e traduzido por IA a partir da descrição oficial.
An attacker could prematurely expire a verification code, making it unusable by the patient, making the patient unable to upload their TEKs to generate exposure notifications. We recommend upgrading the Exposure Notification server to V1.1.2 or greater.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L
Produtos afetados
Google LLC · Google Exposure-notifications-verification-serverQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →