Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Secuestro de sesión en Imou Life app

Fecha de publicación 18/12/2023
Identificador
INCIBE-2023-0570
Importancia
4 - Alta
Recursos Afectados

Life app 6.7.0

Descripción

INCIBE ha coordinado la publicación de 1 vulnerabilidad de secuestro de sesión que afecta a Imou Life app 6.7.0, la cual ha sido descubierta por Jan Adamski (johnny1337.pl).

A esta vulnerabilidad se le ha asignado la siguiente puntuación base CVSS v3.1, vector del CVSS y tipo de vulnerabilidad CWE: 

  • CVE-2023-6913: CVSS v3.1: 8.1 | CVSS: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N | CWE-384.
Solución

Vulnerabilidad solucionada en versiones posteriores. 

Detalle

CVE-2023-6913: se ha detectado una vulnerabilidad de secuestro de sesión en la aplicación Imou Life que afecta a la versión 6.7.0. Esta vulnerabilidad podría permitir a un atacante secuestrar cuentas de usuario debido a que la funcionalidad del código QR no filtra adecuadamente los códigos cuando escanea un nuevo dispositivo y ejecuta directamente WebView sin preguntar ni mostrárselo al usuario. Esta vulnerabilidad podría desencadenar ataques de phishing.

Listado de referencias
IMOU life
Etiquetas