В Microsoft Exchange до 2019 года конфигурации Exchange ActiveSync (EAS) на локальных серверах могут передавать конфиденциальные данные с мобильных устройств Samsung в открытом виде, включая имя пользователя, адрес электронной почты, идентификатор устройства, токен носителя и пароль в кодировке Base64.
Показать оригинальное описание (EN)
In Microsoft Exchange through 2019, Exchange ActiveSync (EAS) configurations on on-premises servers may transmit sensitive data from Samsung mobile devices in cleartext, including the user's name, e-mail address, device ID, bearer token, and base64-encoded password.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1