CVE-2024-34446

EPSS 0.17%
Veröffentlicht 03.05.2024 15:15:08
Zuletzt bearbeitet 21.11.2024 09:18:41
Quelle cve@mitre.org
CVE-Watchlists
Login
Unerledigt
Login

Mullvad VPN through 2024.1 on Android does not set a DNS server in the blocking state (after a hard failure to create a tunnel), and thus DNS traffic can leave the device. Data showing that the affected device was the origin of sensitive DNS requests may be observed and logged by operators of unintended DNS servers.

Betroffene Produkte Warnungen 0 Metriken 2 CWE 1 Referenzen 8

Verknüpft mit AI von unstrukturierten Daten zu bestehenden CPE der NVD

Diese Information steht angemeldeten Benutzern zur Verfügung.

Daten sind bereitgestellt durch das CVE Programm von Authorized Data Publishers (ADP) (Unstrukturiert)

Herstellermullvad

≫

Produkt mullvad_vpn

Default Statusunknown

Version <= 2024.1

Version 0

Status affected

Zu dieser CVE wurde keine CISA KEV oder CERT.AT-Warnung gefunden.

EPSS Metriken
Typ	Quelle	Score	Percentile
EPSS	FIRST.org	0.17%	0.384

CVSS Metriken
Quelle	Base Score	Exploit Score	Impact Score	Vector String
134c704f-9b21-4f2e-91b3-4a467353bcc0	7.5	3.9	3.6	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CWE-923 Improper Restriction of Communication Channel to Intended Endpoints

The product establishes a communication channel to (or from) an endpoint for privileged or protected operations, but it does not properly ensure that it is communicating with the correct endpoint.

https://github.com/mullvad/mullvadvpn-app/blob/main/CHANGELOG.md

https://github.com/mullvad/mullvadvpn-app/commit/0c39306a40f426853d617e20d596942e41091f13

https://github.com/mullvad/mullvadvpn-app/tags

https://mullvad.net/en/blog/dns-traffic-can-leak-outside-the-vpn-tunnel-on-android

https://news.ycombinator.com/item?id=40247604

https://nvd.nist.gov/vuln/detail/CVE-2024-34446

CVE Source (NVD)

https://cveawg.mitre.org/api/cve/CVE-2024-34446

CVE Source (JSON)

https://euvd.enisa.europa.eu/vulnerability/CVE-2024-34446

EUVD

Team-orientierte Vulnerability Management Plattform

Features der Plattform

CVE-2024-34446