一、 漏洞 CVE-2019-16681 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
Traveloka应用程序3.14.0对Android导出com.traveloka.android.activity.common.WebViewActivity,导致打开任意URL,这可能导致将欺骗性内容注入UI。(当设备在物理 possession 时,也可以打开本地文件。)注意:截至2019年9月23日,供应商未同意这个问题具有严重影响。供应商表示,这个问题不关键,因为它不允许从恶意用户那里提升权限、泄露敏感数据或进行任何关键未经授权的活动。供应商还指出,受害者首先必须在他们的应用程序上安装一个恶意APK。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Traveloka application 3.14.0 for Android exports com.traveloka.android.activity.common.WebViewActivity, leading to the opening of arbitrary URLs, which can inject deceptive content into the UI. (When in physical possession of the device, opening local files is also possible.) NOTE: As of 2019-09-23, the vendor has not agreed that this issue has serious impact. The vendor states that the issue is not critical because it does not allow Elevation of Privilege, Sensitive Data Leakage, or any critical unauthorized activity from a malicious user. The vendor also states that a victim must first install a malicious APK to their application.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Traveloka application for Android 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Traveloka application for Android是印度尼西亚Traveloka公司的一款基于Android平台、用于在线预订酒店、机票的应用程序。 基于Android平台的Traveloka应用程序3.14.0版本中存在跨站脚本漏洞。该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2019-16681 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2019-16681 的情报信息