Описание
A vulnerability in the expo.io framework allows an attacker to take over accounts and steal credentials on an application/website that configured the "Expo AuthSession Redirect Proxy" for social sign-in. This can be achieved once a victim clicks a malicious link. The link itself may be sent to the victim in various ways (including email, text message, an attacker-controlled website, etc).
Ссылки
- MitigationThird Party Advisory
- MitigationThird Party Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 45.0.0 (включая) до 48.0.0 (исключая)
cpe:2.3:a:expo:expo_software_development_kit:*:*:*:*:*:*:*:*
EPSS
Процентиль: 77%
0.01045
Низкий
9.6 Critical
CVSS3
Дефекты
CWE-522
CWE-522
Связанные уязвимости
CVSS3: 9.6
fstec
почти 3 года назад
Уязвимость реализации стандарта открытой авторизации (OAuth) фреймворка Expo связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить регистрационные данные пользователя
EPSS
Процентиль: 77%
0.01045
Низкий
9.6 Critical
CVSS3
Дефекты
CWE-522
CWE-522