CVSS: 6.8EPSS: 0%CPEs: 1EXPL: 0CVE-2018-15543
https://notcve.org/view.php?id=CVE-2018-15543
An issue was discovered in the org.telegram.messenger application 4.8.11 for Android. The FingerprintManager class for Biometric validation allows authentication bypass through the callback method from onAuthenticationFailed to onAuthenticationSucceeded with null, because the fingerprint API in conjunction with the Android keyGenerator class is not implemented. In other words, an attacker could authenticate with an arbitrary fingerprint. NOTE: the vendor indicates that this is not an attack of interest within the context of their threat model, which excludes Android devices on which rooting has occurred ** EN DISPUTA ** Se ha descubierto un problema en la versión 4.8.11 de la aplicación org.telegram.messenger para Android. La clase FingerprintManager para la validación biométrica permite la omisión de autenticación mediante el método callback desde onAuthenticationFailed a onAuthenticationSucceeded con un null. • https://gist.github.com/tanprathan/d286c0d5b02e344606287774304a1ccd • CWE-287: Improper Authentication •
CVSS: 6.4EPSS: 0%CPEs: 1EXPL: 0CVE-2018-15542
https://notcve.org/view.php?id=CVE-2018-15542
An issue was discovered in the org.telegram.messenger application 4.8.11 for Android. The Passcode feature allows authentication bypass via runtime manipulation that forces a certain method's return value to true. In other words, an attacker could authenticate with an arbitrary passcode. NOTE: the vendor indicates that this is not an attack of interest within the context of their threat model, which excludes Android devices on which rooting has occurred ** EN DISPUTA ** Se ha descubierto un problema en la versión 4.8.11 de la aplicación org.telegram.messenger para Android. La funcionalidad Passcode permite la omisión de autenticación mediante la manipulación en tiempo de ejecución que fuerza el valor de retorno de cierto método a ser "true". • https://gist.github.com/tanprathan/18d0f692a2485acfb5693e2f6dabeb5d • CWE-287: Improper Authentication •
CVSS: 6.5EPSS: 0%CPEs: 2EXPL: 1CVE-2018-17780
https://notcve.org/view.php?id=CVE-2018-17780
Telegram Desktop (aka tdesktop) 1.3.14, and Telegram 3.3.0.0 WP8.1 on Windows, leaks end-user public and private IP addresses during a call because of an unsafe default behavior in which P2P connections are accepted from clients outside of the My Contacts list. Telegram Desktop (también conocido como tdesktop) 1.3.14 y Telegram 3.3.0.0 WP8.1 en Windows filtra las direcciones IP públicas y privadas del usuario final durante una llamada debido a un comportamiento por defecto no seguro por el que se aceptan conexiones P2P de clientes fuera de la lista My Contacts. • http://www.securityfocus.com/bid/105521 https://www.inputzero.io/2018/09/bug-bounty-telegram-cve-2018-17780.html • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2018-17613
https://notcve.org/view.php?id=CVE-2018-17613
Telegram Desktop (aka tdesktop) 1.3.16 alpha, when "Use proxy" is enabled, sends credentials and application data in cleartext over the SOCKS5 protocol. Telegram Desktop (también conocido como tdesktop) 1.3.16 alpha, cuando "Use proxy" está habilitado, envía credenciales en en texto claro mediante el protocolo SOCKS5. • https://seclists.org/oss-sec/2018/q3/280 https://www.inputzero.io/2018/09/telegram-share-password-in-cleartext.html • CWE-522: Insufficiently Protected Credentials •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 1CVE-2018-17231
https://notcve.org/view.php?id=CVE-2018-17231
Telegram Desktop (aka tdesktop) 1.3.14 might allow attackers to cause a denial of service (assertion failure and application exit) via an "Edit color palette" search that triggers an "index out of range" condition. NOTE: this issue is disputed by multiple third parties because the described attack scenario does not cross a privilege boundary ** EN DISPUTA ** Telegram Desktop (también conocido como tdesktop) 1.3.14 podría permitir a los atacantes provocar una denegación de servicio (fallo de aserción y salida de la aplicación) mediante una búsqueda "Edit color palette" que desencadena una condición "index out of range". NOTA: este problema está en disputa por múltiples terceros porque el escenario de ataque descrito no traspasa un límite de privilegio. • https://www.openwall.com/lists/oss-security/2018/09/19/8 • CWE-617: Reachable Assertion •