CVE-2024-28864

SecureProps, versões 1.2.0 a 1.2.1

Uma vulnerabilidade no SecureProps está relacionada a uma expressão regular que não consegue detectar tags durante a descriptografia de dados criptografados. Isso ocorre quando os dados criptografados foram codificados com NullEncoder e passados para TagAwareCipher, e contêm caracteres especiais como . Como resultado, o processo de descriptografia é ignorado, uma vez que as tags não são detectadas, fazendo com que os dados criptografados sejam retornados em formato simples. A vulnerabilidade afeta usuários que implementam TagAwareCipher com qualquer cifra base que possua NullEncoder (não padrão).

Para as versões 1.2.0 e 1.2.1 do SecureProps, atualize para a versão 1.2.2 para resolver o problema.

Como solução alternativa temporária, considere usar o Base64Encoder padrão com a cifra base decorada com TagAwareCipher para evitar que caracteres especiais na string criptografada interfiram na lógica de detecção de tags por expressão regular.