CVE-2015-5920

Опубликовано: 18 сент. 2015

Источник: nvd

CVSS2: 4.3

EPSS Низкий

Уязвимость некорректной обработки перенаправления в компоненте Software Update в Apple iTunes, позволяющая обнаруживать зашифрованные SMB-учетные данные

Описание

В компоненте Software Update в Apple iTunes до версии 12.3 присутствует уязвимость, связанная с некорректной обработкой перенаправления. Это позволяет злоумышленникам в процессе атаки "человек посередине" (man-in-the-middle) обнаруживать зашифрованные SMB-учетные данные через неуказанные векторы.

Затронутые версии ПО

Apple iTunes до версии 12.3

Тип уязвимости

Подмена (манипуляция перенаправлением)

Ссылки

CWE-601: URL Redirection to Untrusted Site ('Open Redirect')

Ссылки

http://lists.apple.com/archives/security-announce/2015/Sep/msg00003.html
Vendor Advisory
http://www.securitytracker.com/id/1033617
https://support.apple.com/HT205221
Vendor Advisory
http://lists.apple.com/archives/security-announce/2015/Sep/msg00003.html
Vendor Advisory
http://www.securitytracker.com/id/1033617
https://support.apple.com/HT205221
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:apple:itunes:*:*:*:*:*:*:*:*

Версия до 12.2 (включая)

EPSS

Процентиль: 53%

0.00297

Низкий

4.3 Medium

CVSS2

Дефекты

NVD-CWE-Other

Связанные уязвимости

GHSA-wv3h-xgxp-x2j3

github

больше 3 лет назад

The Software Update component in Apple iTunes before 12.3 does not properly handle redirection, which allows man-in-the-middle attackers to discover encrypted SMB credentials via unspecified vectors.