PT-2024-22328 · Unknown · Yourspotify
Ragingcactus
·
Publicado
2024-03-13
·
Atualizado
2024-03-14
·
CVE-2024-28194
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do YourSpotify anteriores à 1.8.0
Descrição
O problema diz respeito ao uso de um segredo JSON Web Token (JWT) codificado de forma rígida nos tokens de autenticação. Isso permite que invasores forjem tokens de autenticação válidos para qualquer usuário, contornando efetivamente a autenticação e, potencialmente, autenticando-se como usuários administradores.
Recomendações
Para versões anteriores à 1.8.0, atualize para a versão 1.8.0 para resolver o problema. Como solução temporária, considere restringir o acesso a recursos confidenciais até que a atualização seja aplicada.
Exploit
Correção
Using Hardcoded Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Yourspotify