CVE-2021-21400 – Entering code in App Lock modal sends input to conversation

https://notcve.org/view.php?id=CVE-2021-21400

wire-webapp is an open-source front end for Wire, a secure collaboration platform. In wire-webapp before version 2021-03-15-production.0, when being prompted to enter the app-lock passphrase, the typed passphrase will be sent into the most recently used chat when the user does not actively give focus to the input field. Input element focus is enforced programatically in version 2021-03-15-production.0. wire-webapp es una interfaz de código abierto para Wire, una plataforma de colaboración segura. En wire-webapp anterior a la versión 15-03-2021-production.0, cuando ha sido solicitado que ingrese la frase de contraseña app-lock, la frase de contraseña escrita será enviada al chat usado más recientemente cuando el usuario no preste atención activamente al campo de entrada. El enfoque del elemento de entrada es aplicado mediante programación en la versión 15-03-2021-production.0. • https://github.com/wireapp/wire-webapp/commit/281f2a9d795f68abe423c116d5da4e1e73a60062 https://github.com/wireapp/wire-webapp/pull/10704 https://github.com/wireapp/wire-webapp/releases/tag/2021-03-15-production.0 https://github.com/wireapp/wire-webapp/security/advisories/GHSA-cxwr-f2j3-q8hp • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •