CVE-2024-27086

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2024-27086
The MSAL library enabled acquisition of security tokens to call protected APIs. MSAL.NET applications targeting Xamarin Android and .NET Android (e.g., MAUI) using the library from versions 4.48.0 to 4.60.0 are impacted by a low severity vulnerability. A malicious application running on a customer Android device can cause local denial of service against applications that were built using MSAL.NET for authentication on the same device (i.e., prevent the user of the legitimate application from logging in) due to incorrect activity export configuration. MSAL.NET version 4.60.1 includes the fix. As a workaround, a developer may explicitly mark the MSAL.NET activity non-exported.

3.9 /10

CVSS v3 : LOW

V3 Legend

Vector :

Exploitability : 1.3 / Impact : 2.5

Attack Vector LOCAL

Attack Complexity LOW

Privileges Required LOW

User Interaction REQUIRED

Confidentiality Impact NONE

Integrity Impact LOW

Availability Impact LOW

Scope UNCHANGED

References
Link Resource
https://github.com/AzureAD/microsoft-authentication-library-for-dotnet/commit/413e319472ccf48c86647f19fa2aa49ff6038488
https://github.com/AzureAD/microsoft-authentication-library-for-dotnet/security/advisories/GHSA-x674-v45j-fwxw
Configurations

No configuration.

History

17 Apr 2024, 12:48

Type Values Removed Values Added
Summary
  • (es) La librería MSAL permitió la adquisición de tokens de seguridad para llamar a API protegidas. Las aplicaciones MSAL.NET dirigidas a Xamarin Android y .NET Android (por ejemplo, MAUI) que utilizan la librería desde las versiones 4.48.0 a 4.60.0 se ven afectadas por una vulnerabilidad de gravedad baja. Una aplicación maliciosa que se ejecuta en el dispositivo Android de un cliente puede provocar una denegación de servicio local en aplicaciones creadas utilizando MSAL.NET para autenticación en el mismo dispositivo (es decir, impedir que el usuario de la aplicación legítima inicie sesión) debido a una configuración de exportación de actividad incorrecta. . MSAL.NET versión 4.60.1 incluye la solución. Como workaround, un desarrollador puede marcar explícitamente la actividad de MSAL.NET como no exportada.

16 Apr 2024, 22:15

Type Values Removed Values Added
New CVE
Information

Published : 2024-04-16 22:15

Updated : 2024-04-17 12:48

NVD link : CVE-2024-27086

Mitre link : CVE-2024-27086

CVE.ORG link : CVE-2024-27086

JSON object : View

Products Affected

No product.

CWE
CWE-863

Incorrect Authorization

CWE-926

Improper Export of Android Application Components