dde-control-center — это панель управления DDE, среды рабочего стола Deepin. плагин-deepinid — это плагин в dde-control-center, который предоставляет облачный сервис deepinid. До версии 6.1.80 плагин-deepinid настроен на пропуск проверки сертификата TLS при получении аватара пользователя от openapi.deepin.com или других поставщиков. Злоумышленник MITM может перехватить трафик, заменить аватар вредоносным или вводящим в заблуждение изображением и потенциально идентифицировать пользователя по аватару.
Эта уязвимость исправлена в dde-control-center версий 6.1.80 и 5.9.9.
Показать оригинальное описание (EN)
dde-control-center is the control panel of DDE, the Deepin Desktop Environment. plugin-deepinid is a plugin in dde-control-center, which provides the deepinid cloud service. Prior to 6.1.80, plugin-deepinid is configured to skip TLS certificate verification when fetching the user's avatar from openapi.deepin.com or other providers. An MITM attacker could intercept the traffic, replace the avatar with a malicious or misleading image, and potentially identify the user by the avatar. This vulnerability is fixed in dde-control-center 6.1.80 and 5.9.9.
Характеристики атаки
Последствия
Строка CVSS v3.1