CRITICAL🇬🇧 English

CVE-2025-65830

Brak walidacji certyfikatu TLS w aplikacji mobilnej Meatmeet

CVSS 9.1v3.1pub. 2025-12-10upd. 2025-12-30

Aplikacja mobilna Meatmeet nie weryfikuje poprawności certyfikatów TLS, co umożliwia przechwycenie i modyfikację całego ruchu sieciowego przez atakującego znajdującego się na ścieżce komunikacji. W efekcie możliwe jest przejęcie konta użytkownika poprzez kradzież tokenów uwierzytelniających lub złamanie skrótu MD5 przesyłanego podczas logowania.

Pokaż oryginał (EN)

Due to a lack of certificate validation, all traffic from the mobile application can be intercepted. As a result, an adversary located "upstream" can decrypt the TLS traffic, inspect its contents, and modify the requests in transit. This may result in a total compromise of the user's account if the attacker intercepts a request with active authentication tokens or cracks the MD5 hash sent on login.

🤖 Analiza AI
Jak działa

Brak mechanizmu certificate pinning lub innej formy walidacji certyfikatu serwera pozwala atakującemu na przeprowadzenie ataku typu Man-in-the-Middle (MitM). Atakujący umieszczony między aplikacją a serwerem może podszyć się pod zaufany endpoint, odszyfrować szyfrowany ruch TLS, odczytać jego zawartość oraz modyfikować przesyłane żądania w locie. Szczególnie niebezpieczne jest przechwycenie aktywnych tokenów uwierzytelniających lub skrótu hasła w formacie MD5 przesyłanego podczas procesu logowania.

Skutki

Atakujący może uzyskać pełną kontrolę nad kontem użytkownika poprzez kradzież tokenów sesji lub złamanie słabego skrótu MD5 przesyłanego przy logowaniu. Możliwa jest także modyfikacja danych przesyłanych między aplikacją a serwerem.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się wdrożenie certificate pinning w aplikacji mobilnej oraz zastąpienie MD5 bezpiecznym algorytmem haszowania haseł (np. bcrypt, Argon2).

Kogo dotyczy

Aplikacja mobilna Meatmeet (produkt Meatmeet) — wersje wskazane w referencjach producenta

Uwagi

Szczegółowy opis techniczny podatności opublikował badacz o pseudonimie 'dead1nfluence' w repozytorium GitHub (Meatmeet-Pro-Vulnerabilities). Opis wskazuje na dodatkowe ryzyko związane z użyciem algorytmu MD5 do przesyłania danych uwierzytelniających podczas logowania.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Meatmeet

    APP
    Meatmeet
    1.1.2.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-65820CRITICAL9.8PL ✓ten sam produkt

Ujawnienie informacji o nieopublikowanych urządzeniach w aplikacji Meatmeet Android

CVE-2025-65826CRITICAL9.8PL ✓ten sam produkt

Hardcoded credentials w aplikacji mobilnej Meatmeet

CVE-2025-65827CRITICAL9.1PL ✓ten sam produkt

Meatmeet – transmisja danych w czystym tekście (HTTP), przechwycenie tokenów uwierzytelniania

CVE-2025-65831HIGH7.5ten sam produkt

The application uses an insecure hashing algorithm (MD5) to hash passwords. If an attacker obtained a copy of ...

CVE-2025-65832MEDIUM4.6ten sam produkt

The mobile application insecurely handles information stored within memory. By performing a memory dump on the...