CVE-2021-22565
Insufficient Granularity of Access Control in GAEN Notification Server
En resumen
Un atacante puede invalidar códigos de verificación que los pacientes usan para reportar exposición a COVID, impidiendo que compartan sus datos de exposición con personas que tuvieron contacto.
Detalle técnico
El GAEN Notification Server presenta granularidad insuficiente en el control de acceso (CWE-284), permitiendo que un atacante expire prematuramente códigos de verificación e impida que usuarios legítimos envíen Temporary Exposure Keys (TEKs) y generen notificaciones de exposición. Es un ataque pre-autenticación que afecta la confidencialidad y disponibilidad del sistema.
Resumen generado y traducido por IA a partir de la descripción oficial.
An attacker could prematurely expire a verification code, making it unusable by the patient, making the patient unable to upload their TEKs to generate exposure notifications. We recommend upgrading the Exposure Notification server to V1.1.2 or greater.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L
Productos afectados
Google LLC · Google Exposure-notifications-verification-server¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →