PT-2021-17644 · Ymfe · Ymfe Yapi
Jarlob
+1
·
Publicado
2021-03-01
·
Atualizado
2021-03-26
·
CVE-2021-27884
CVSS v3.1
5.1
Média
| Vetor | AV:L/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
**Nome do software vulnerável e versões afetadas:
YMFE YApi versões 1.9.2 e anteriores
Descrição:
O problema decorre da geração inadequada do segredo de assinatura do JSON Web Token (JWT). Isso se deve ao uso de
Math.random no Node.js, que não fornece números aleatórios criptograficamente seguros, permitindo a recriação de tokens JWT de outros usuários.Recomendações:
Para as versões 1.9.2 e anteriores, atualize para a versão 1.9.3 para resolver o problema. Como solução temporária, considere restringir o acesso a operações confidenciais que dependem de tokens JWT até que a atualização possa ser aplicada.
Correção
Use of Insufficiently Random Values
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ymfe Yapi