CVE-2021-41861
https://notcve.org/view.php?id=CVE-2021-41861
The Telegram application 7.5.0 through 7.8.0 for Android does not properly implement image self-destruction, a different vulnerability than CVE-2019-16248. After approximately two to four uses of the self-destruct feature, there is a misleading UI indication that an image was deleted (on both the sender and recipient sides). The images are still present in the /Storage/Emulated/0/Telegram/Telegram Image/ directory. La aplicación Telegram versiones 7.5.0 hasta 7.8.0 para Android no implementa correctamente la autodestrucción de imágenes, una vulnerabilidad diferente a la de CVE-2019-16248. Después de aproximadamente dos a cuatro usos de la funcionalidad de autodestrucción, presenta una indicación de interfaz de usuario engañosa de que una imagen fue eliminada (tanto en el lado del remitente como del destinatario). • https://desktop.telegram.org/changelog#v-2-6-23-02-21 https://habr.com/ru/post/580582 https://pikabu.ru/story/konfidentsialnost_polzovateley_telegram_snova_narushena_predstaviteli_messendzhera_trebuyut_ne_raskryivat_podrobnostey_8511495 https://telegram.org/blog/autodelete-inv2/ru#avtomaticheskoe-udalenie-soobschenii •
CVE-2021-40532
https://notcve.org/view.php?id=CVE-2021-40532
Telegram Web K Alpha before 0.7.2 mishandles the characters in a document extension. Telegram Web K Alpha versiones anteriores a 0.7.2, maneja inapropiadamente los caracteres de una extensión de documento. • https://github.com/morethanwords/tweb/commit/f224e459c36eb96b2cf9dba559a48b1f08d23330 •
CVE-2021-37596
https://notcve.org/view.php?id=CVE-2021-37596
Telegram Web K Alpha 0.6.1 allows XSS via a document name. Telegram Web K Alpha versión 0.6.1, permite un ataque de tipo XSS por medio de un nombre de documento • https://github.com/morethanwords/tweb/commit/11d2fe01363889f20c8baa2217ed4aad445c5551 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2021-36769
https://notcve.org/view.php?id=CVE-2021-36769
A reordering issue exists in Telegram before 7.8.1 for Android, Telegram before 7.8.3 for iOS, and Telegram Desktop before 2.8.8. An attacker can cause the server to receive messages in a different order than they were sent a client. Se presenta un problema de reordenación en Telegram versiones anteriores a 7.8.1 para Android, Telegram versiones anteriores a 7.8.3 para iOS y Telegram Desktop versiones anteriores a 2.8.8. Un atacante puede causar al servidor recibir mensajes en un orden diferente al que se envió al cliente • https://mtpsym.github.io •
CVE-2021-31315
https://notcve.org/view.php?id=CVE-2021-31315
Telegram Android <7.1.0 (2090), Telegram iOS <7.1, and Telegram macOS <7.1 are affected by a Stack Based Overflow in the blit function of their custom fork of the rlottie library. A remote attacker might be able to access Telegram's stack memory out-of-bounds on a victim device via a malicious animated sticker. Telegram Android versiones anteriores a 7.1,.0 (2090), Telegram iOS versiones anteriores a 7.1, y Telegram macOS versiones anteriores a 7.1, están afectados por un Desbordamiento en la región Stack de la Memoria en la función blit de su derivación personalizada de la biblioteca rlottie. Un atacante remoto podría acceder a la memoria de pila de Telegram fuera de límites en un dispositivo víctima por medio de una etiqueta animada maliciosa • https://www.shielder.it/advisories/telegram-rlottie-blit-stack-buffer-overflow https://www.shielder.it/blog/2021/02/hunting-for-bugs-in-telegrams-animated-stickers-remote-attack-surface • CWE-787: Out-of-bounds Write •