PT-2024-16642 · Unknown · Travels-Java-Api
Susu199
+1
·
Publicado
2024-11-06
·
Atualizado
2024-11-22
·
CVE-2024-10920
CVSS v3.1
3.7
Baixa
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do travels-java-api até 5.0.1
Descrição
Foi encontrada uma vulnerabilidade no travels-java-api, classificada como problemática. A falha afeta a função
doFilterInternal do arquivo travels-java-api-mastersrcmainjavaiogithubmariazevedo88travelsjavaapifiltersJwtAuthenticationTokenFilter.java do componente JWT Secret Handler. Isso leva ao uso de uma chave criptográfica codificada. O ataque pode ser lançado remotamente, com complexidade bastante alta e exploração difícil. A exploração foi divulgada ao público e pode ser utilizada.Recomendações
Para versões do travels-java-api até a 5.0.1, considere atualizar para uma versão que resolva o uso de chaves criptográficas codificadas, já que nenhuma versão corrigida específica é mencionada nas informações fornecidas.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Using Hardcoded Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Travels-Java-Api