Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Omisión de autenticación en AppWash de Miele

Fecha de publicación 22/11/2022
Identificador

INCIBE-2022-1022

Importancia
4 - Alta
Recursos Afectados

Aplicación móvil AppWash, todas las versiones.

Descripción

El investigador, Bishoy Roufael, coordinado por el CERT@VDE, ha identificado una vulnerabilidad de severidad alta en AppWash de Miele, cuya explotación podría permitir a un atacante obtener accesos de lectura y escritura sobre información de otros usuarios.

Solución

El servicio en la nube, ease2pay, utilizado por AppWash, fue corregido el 05/10/2022 sin necesidad de realizar acciones por los usuarios.

Detalle

Un atacante remoto, con pocos privilegios podría obtener accesos de lectura y escritura parcial a los datos de otros usuarios, modificando una solicitud HTTP enviada al endpoint de la API utilizada por la aplicación móvil AppWash de Miele, aunque sin impacto en la disponibilidad. Se ha asignado el identificador CVE-2022-3589 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
VDE-2022-052 Miele: Vulnerability in ease2pay cloud service used by appWash
Etiquetas