关键漏洞信息 概述 漏洞标识符: JVN#28515217 漏洞描述: TONE store App 到 TONE store 存在明文传输问题。 影响产品 受影响产品: TONE store App 版本 3.4.2 及更早版本。 描述: 该应用预装在 TONE 智能手机上。 描述 问题详情: TONE store App(由 DREAM TRAIN INTERNET INC. 提供)包含明文传输问题,涉及 TONE store 网站 (CWE-419)。 影响 攻击类型: 中间人攻击可能允许攻击者获取和/或篡改受影响应用的通信。 解决方案 更新应用: 根据开发者提供的信息更新至最新版本。启用互联网连接设置时,应用将自动更新。 厂商状态 厂商: DREAM TRAIN INTERNET INC. 状态: 易受攻击 最后更新: 2024/07/08 厂商备注: 请参阅 DREAM TRAIN INTERNET INC. 网站 参考文献 JPCERT/CC 附录 漏洞分析 by JPCERT/CC CVSS v3: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N 基础评分: 3.7 注释 假设场景: 分析假设攻击者放置恶意无线 LAN 接入点进行中间人攻击。 致谢 报告人: Kodai Karakawa 向 IPA 报告了此漏洞。 协调机构: JPCERT/CC 与开发人员在信息安全早期预警伙伴关系下进行了协调。 其他信息 相关链接 - JPCERT Alert - JPCERT Reports - CERT Advisory - CPNI Advisory - TRnotes - CVE: CVE-2024-39886 - JVN iPedia: JVNDB-2024-000069