Vulnerabilidad en IDs alfanuméricos de seis caracteres en React Native Bluetooth Scan en Bluezone (CVE-2020-12270)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-330
Uso de valores insuficientemente aleatorios
Fecha de publicación:
27/04/2020
Última modificación:
04/08/2024
Descripción
** EN DISPUTA ** React Native Bluetooth Scan en Bluezone versión 1.0.0, usa IDs alfanuméricas de seis caracteres, lo que podría facilitar a atacantes remotos una interferencia con el rastreo de contactos COVID-19 mediante el uso de muchos IDs. NOTA: el proveedor cuestiona la relevancia de este informe porque el destinatario de una alerta F1 sabrá que fue una alerta falsa si este destinatario no forma parte del historial de contactos obtenido del dispositivo de un F0.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
3.30
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:bluezone:bluezone:1.0.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://bluezone.ai/CVE
- https://github.com/BluezoneGlobal/bluezone-app/blob/afa15fcec391f0edc51d0486a4ca84dd2520bbb3/CHANGELOG.md
- https://github.com/BluezoneGlobal/bluezone-app/blob/afa15fcec391f0edc51d0486a4ca84dd2520bbb3/package.json#L27
- https://github.com/BluezoneGlobal/react-native-bluetooth-scan/blob/d9ee70fd594093a30e50b6e62a7593a8397c2dab/lib/android/src/main/AndroidManifest.xml#L11-L12
- https://github.com/BluezoneGlobal/react-native-bluetooth-scan/blob/d9ee70fd594093a30e50b6e62a7593a8397c2dab/lib/android/src/main/java/com/scan/BluezonerIdGenerator.java#L18-L28
- https://github.com/BluezoneGlobal/react-native-bluetooth-scan/blob/d9ee70fd594093a30e50b6e62a7593a8397c2dab/lib/android/src/main/java/com/scan/TraceCovidModule.java#L98
- https://vnhacker.blogspot.com/2020/04/vietnams-contact-tracing-app_26.html