PT-2024-31598 · Unknown · Authenticator
Laurent Weber
·
Publicado
2024-09-03
·
Atualizado
2024-10-09
·
CVE-2024-45394
CVSS v3.1
8.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas:
Versões do Authenticator anteriores à 8.0.0
Descrição:
A extensão do navegador Authenticator gera códigos de verificação em duas etapas. Nas versões anteriores à 8.0.0, as chaves de criptografia dos dados do usuário eram armazenadas criptografadas em repouso usando apenas AES-256 e o KDF EVP BytesToKey. Isso permite que invasores com uma cópia dos dados do usuário realizem um ataque de força bruta para descobrir a chave de criptografia do usuário. Usuários na versão 8.0.0 e superiores são automaticamente migrados para longe da codificação fraca no primeiro login.
Recomendações:
Para versões anteriores à 8.0.0, atualize para a versão 8.0.0 ou posterior para garantir a segurança de seus dados contra ataques de força bruta. Além disso, destrua backups criptografados feitos com versões anteriores à 8.0.0.
Exploit
Correção
Use of a Broken Cryptographic Algorithm
Inadequate Encryption Strength
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Authenticator