Vulnerabilidad en Cordova (CVE-2017-3160)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

01/02/2018

Última modificación:

15/04/2020

Descripción

Después de añadir la plataforma Android a Cordova por primera vez o después de crear un proyecto utilizando los build scripts, los scripts recuperarán Gradle en su primera build. Sin embargo, dado que la URI por defecto no utiliza https, es vulnerable a MiTM y el ejecutable Gradle no es seguro. La criticidad de esta vulnerabilidad es alta dado que los build scripts empiezan inmediatamente una build después de que se recupere Gradle. Los desarrolladores que sean conscientes de este problema deberían instalar la versión 6.1.2 o superior de Cordova-Android. Si los desarrolladores no pueden instalar la última versión, esta vulnerabilidad se puede mitigar fácilmente configurando la variable de entorno CORDOVA_ANDROID_GRADLE_DISTRIBUTION_URL en https://services.gradle.org/distributions/gradle-2.14.1-all.zip.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.40 ALTA
Vector: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

7.40

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:M/Au:N/C:P/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.80 MEDIA
Vector: AV:N/AC:M/Au:N/C:P/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno