CVE-2021-27205
https://notcve.org/view.php?id=CVE-2021-27205
Telegram before 7.4 (212543) Stable on macOS stores the local copy of self-destructed messages in a sandbox path, leading to sensitive information disclosure. Telegram versiones anteriores a 7.4 (212543) Stable en macOS almacena la copia local de mensajes autodestruidos en una ruta de espacio aislado, conllevando a una divulgación de información confidencial • https://www.inputzero.io/2020/12/telegram-privacy-fails-again.html https://www.youtube.com/watch?v=Go-4srm_1fQ • CWE-312: Cleartext Storage of Sensitive Information •
CVE-2020-25824
https://notcve.org/view.php?id=CVE-2020-25824
Telegram Desktop through 2.4.3 does not require passcode entry upon pushing the Export key within the Export Telegram Data wizard. The threat model is a victim who has voluntarily opened Export Wizard but is then distracted. An attacker then approaches the unattended desktop and pushes the Export key. This attacker may consequently gain access to all chat conversation and media files. Telegram Desktop versiones hasta 2.4.3, no requiere el ingreso de un código de acceso al presionar la tecla Exportar dentro del asistente Export Telegram Data. • https://github.com/soheilsamanabadi/vulnerability/blob/main/Telegram-Desktop-CVE-2020-25824 https://github.com/telegramdesktop/tdesktop/releases/tag/v2.4.3 https://security.gentoo.org/glsa/202101-34 https://www.Telegram.org • CWE-306: Missing Authentication for Critical Function •
CVE-2020-17448
https://notcve.org/view.php?id=CVE-2020-17448
Telegram Desktop through 2.1.13 allows a spoofed file type to bypass the Dangerous File Type Execution protection mechanism, as demonstrated by use of the chat window with a filename that lacks an extension. Telegram Desktop versiones hasta 2.1.13, permite a un tipo de archivo falsificado omitir el mecanismo de protección Dangerous File Type Execution, como es demostrado al usar la ventana de chat con un nombre de archivo que carece de una extensión • https://github.com/VijayT007/Vulnerability-Database/blob/master/Telegram-CVE-2020-17448 https://github.com/telegramdesktop/tdesktop/releases/tag/v2.2.0 https://security.gentoo.org/glsa/202101-34 https://telegram.org • CWE-863: Incorrect Authorization •
CVE-2020-12474
https://notcve.org/view.php?id=CVE-2020-12474
Telegram Desktop through 2.0.1, Telegram through 6.0.1 for Android, and Telegram through 6.0.1 for iOS allow an IDN Homograph attack via Punycode in a public URL or a group chat invitation URL. Telegram Desktop versiones hasta 2.0.1, Telegram versiones hasta 6.0.1 para Android y Telegram versiones hasta 6.0.1 para iOS, permiten un ataque de Homógrafo IDN por medio de un Punycode en una URL pública o una URL de invitación de chat grupal. • https://github.com/VijayT007/Vulnerability-Database/blob/master/Telegram:CVE-2020-12474 •
CVE-2020-10570
https://notcve.org/view.php?id=CVE-2020-10570
The Telegram application through 5.12 for Android, when Show Popup is enabled, might allow physically proximate attackers to bypass intended restrictions on message reading and message replying. This might be interpreted as a bypass of the passcode feature. La aplicación Telegram versiones hasta 5.12 para Android, cuando Show Popup está habilitado, podría permitir a atacantes físicamente próximos omitir restricciones previstas en la lectura y respuesta de mensajes. Esto podría interpretarse como una omisión de la funcionalidad de código de acceso. • https://github.com/VijayT007/Vulnerability-Database/blob/master/Telegram:CVE-2020-10570 •