PT-2020-4629 · Spring · Spring Security
Publicado
2020-05-14
·
Atualizado
2021-06-14
·
CVE-2020-5408
CVSS v2.0
6.8
Média
| Vetor | AV:N/AC:L/Au:S/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões 5.3.x do Spring Security anteriores à 5.3.2
Versões 5.2.x do Spring Security anteriores à 5.2.4
Versões 5.1.x do Spring Security anteriores à 5.1.10
Versões 5.0.x do Spring Security anteriores à 5.0.16
Versões 4.2.x do Spring Security anteriores à 4.2.16
Descrição
O problema está relacionado ao uso de um vetor de inicialização nulo fixo com o modo CBC na implementação do criptografador de texto consultável. Isso pode permitir que um usuário mal-intencionado com acesso aos dados criptografados obtenha os valores não criptografados por meio de um ataque de dicionário. A vulnerabilidade pode ser explorada por um invasor remoto para obter acesso não autorizado a informações protegidas.
Recomendações
Para as versões 5.3.x do Spring Security anteriores à 5.3.2, atualize para a versão 5.3.2 ou posterior.
Para as versões 5.2.x do Spring Security anteriores à 5.2.4, atualize para a versão 5.2.4 ou posterior.
Para versões do Spring Security 5.1.x anteriores à 5.1.10, atualize para a versão 5.1.10 ou posterior.
Para versões do Spring Security 5.0.x anteriores à 5.0.16, atualize para a versão 5.0.16 ou posterior.
Para versões do Spring Security 4.2.x anteriores à 4.2.16, atualize para a versão 4.2.16 ou posterior.
Correção
Use of Insufficiently Random Values
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Spring Security