PT-2020-19477 · Apereo · Cryptacular
Publicado
2020-01-24
·
Atualizado
2022-05-12
·
CVE-2020-7226
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Cryptacular versão 1.2.3
Versões do Cryptacular anteriores à 1.2.4
Descrição
A vulnerabilidade permite que invasores provoquem alocação excessiva de memória durante uma operação de decodificação. Isso ocorre porque o comprimento da matriz nonce associada a
new byte pode depender de entradas não confiáveis no cabeçalho dos dados codificados. O problema está especificamente relacionado ao CiphertextHeader.java no Cryptacular, que é utilizado no Apereo CAS e em outros produtos.Recomendações
Para a versão 1.2.3 do Cryptacular, atualize para a versão 1.2.4 ou posterior para resolver o problema.
Para versões do Cryptacular anteriores à 1.2.4, atualize para a versão 1.2.4 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir a entrada no
CiphertextHeader.java para evitar alocação excessiva de memória.Exploit
Correção
Allocation of Resources Without Limits
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cryptacular