CVSS: 5.5EPSS: 0%CPEs: 3EXPL: 2CVE-2021-31322
https://notcve.org/view.php?id=CVE-2021-31322
Telegram Android <7.1.0 (2090), Telegram iOS <7.1, and Telegram macOS <7.1 are affected by a Heap Buffer Overflow in the LOTGradient::populate function of their custom fork of the rlottie library. A remote attacker might be able to access heap memory out-of-bounds on a victim device via a malicious animated sticker. Telegram Android versiones anteriores a 7.1,.0 (2090), Telegram iOS versiones anteriores a 7.1, y Telegram macOS versiones anteriores a 7.1, están afectados por una vulnerabilidad de Desbordamiento del Búfer en la región Heap de la memoria en la función LOTGradient::populate de su derivación personalizada de la biblioteca rlottie. Un atacante remoto podría acceder a la memoria de la pila fuera de límites en un dispositivo víctima por medio de una etiqueta animada maliciosa • https://www.shielder.it/advisories/telegram-rlottie-lotgradient-populate-heap-buffer-overflow https://www.shielder.it/blog/2021/02/hunting-for-bugs-in-telegrams-animated-stickers-remote-attack-surface • CWE-787: Out-of-bounds Write •
CVSS: 5.5EPSS: 0%CPEs: 3EXPL: 2CVE-2021-31323
https://notcve.org/view.php?id=CVE-2021-31323
Telegram Android <7.1.0 (2090), Telegram iOS <7.1, and Telegram macOS <7.1 are affected by a Heap Buffer Overflow in the LottieParserImpl::parseDashProperty function of their custom fork of the rlottie library. A remote attacker might be able to access heap memory out-of-bounds on a victim device via a malicious animated sticker. Telegram Android versiones anteriores a 7.1,.0 (2090), Telegram iOS versiones anteriores a 7.1, y Telegram macOS versiones anteriores a 7.1,, están afectados por una vulnerabilidad de Desbordamiento del Búfer en la región Heap de la memoria en la función LottieParserImpl::parseDashProperty de su derivación personalizada de la biblioteca rlottie. Un atacante remoto podría acceder a la memoria de la pila fuera de límites en un dispositivo víctima por medio de una etiqueta animada maliciosa • https://www.shielder.it/advisories/telegram-rlottie-lottieparserimpl-parsedashproperty-heap-buffer-overflow https://www.shielder.it/blog/2021/02/hunting-for-bugs-in-telegrams-animated-stickers-remote-attack-surface • CWE-787: Out-of-bounds Write •
CVSS: 5.7EPSS: 0%CPEs: 1EXPL: 1CVE-2021-30496
https://notcve.org/view.php?id=CVE-2021-30496
The Telegram app 7.6.2 for iOS allows remote authenticated users to cause a denial of service (application crash) if the victim pastes an attacker-supplied message (e.g., in the Persian language) into a channel or group. The crash occurs in MtProtoKitFramework. NOTE: the vendor's perspective is that "this behavior can't be considered a vulnerability." ** EN DISPUTA ** La aplicación Telegram versión 7.6.2 para iOS, permite a usuarios autenticados remoto causar una denegación de servicio (bloqueo de la aplicación) si la víctima pega un mensaje proporcionado por el atacante (por ejemplo, en el idioma Persian) en un canal o grupo. El bloqueo ocurre en la función MtProtoKitFramework. NOTA: la perspectiva del proveedor es que "este comportamiento no puede considerarse una vulnerabilidad" • https://gist.github.com/raminfp/bf64c2974ee6949787329749148a4b31 https://t.me/joinchat/bJ9cnUosVh03ZTI0 • CWE-121: Stack-based Buffer Overflow •
CVSS: 5.3EPSS: 0%CPEs: 3EXPL: 0CVE-2021-27351
https://notcve.org/view.php?id=CVE-2021-27351
The Terminate Session feature in the Telegram application through 7.2.1 for Android, and through 2.4.7 for Windows and UNIX, fails to invalidate a recently active session. La funcionalidad Terminate Session en la aplicación Telegram hasta la versión 7.2.1 para Android, y hasta la versión 2.4.7 para Windows y UNIX, presenta una fallo al invalidar una sesión activa recientemente • https://0ffsecninja.github.io/Telegram:CVE-2021-2735.html https://security.gentoo.org/glsa/202105-07 • CWE-613: Insufficient Session Expiration •
CVSS: 5.5EPSS: 0%CPEs: 2EXPL: 1CVE-2021-27204
https://notcve.org/view.php?id=CVE-2021-27204
Telegram before 7.4 (212543) Stable on macOS stores the local passcode in cleartext, leading to information disclosure. Telegram versiones anteriores a 7.4 (212543) Stable en macOS almacena el código de acceso local en texto sin cifrar, conllevando a una la divulgación de información • https://www.inputzero.io/2020/12/telegram-privacy-fails-again.html https://www.youtube.com/watch?v=zEt-_5b4OaA • CWE-312: Cleartext Storage of Sensitive Information •