CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-35049

MediumCVSS 6.5
Published: Updated: Translated: NVD NIST

Summary

Wire-ios to klient iOS dla aplikacji do bezpiecznej wymiany wiadomości Wire. Przed wersją 4.16.0, otrzymanie spreparowanej złośliwej wiadomości z zewnętrznego źródła, zawierającej zaszyfrowany ładunek krótszy niż 16 bajtów, powodowało awarię aplikacji. Aplikacja wchodzi w pętlę awarii po ponownym uruchomieniu, co uniemożliwia jej otwarcie bez wyczyszczenia lokalnego stanu.

Risk Assessment

Organizacja narażona jest na ryzyko ciągłych awarii aplikacji, co może prowadzić do utraty dostępu do komunikacji. Złośliwe wiadomości mogą być trudne do usunięcia, co zwiększa ryzyko dla bezpieczeństwa danych.

Recommendation

Zaleca się aktualizację aplikacji do wersji 4.16.0 lub nowszej, aby usunąć tę podatność. W przypadku wystąpienia problemu, należy wyczyścić lokalny stan aplikacji.

Original NVD description (English source)

wire-ios is an iOS client for the Wire secure messaging application. Prior to version 4.16.0, upon receiving a crafted malicious Proteus external message with an encrypted payload that is shorter than 16 bytes, the Wire iOS client crashes. The crash is triggered automatically after message receival with no user interaction. Since the malicious message persists in the conversation, the app enters a crash loop on relaunch and cannot be reopened until the local state is wiped. This issue has been fixed with version 4.16.0 which introduces the missing length check and is available via the App Store. No known workarounds are available.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS