CVE-2024-21495

Nome do software vulnerável e versões afetadas:

versões do caddy-security anteriores à 1.0.42

Descrição:

O problema está relacionado ao uso de valores aleatórios insuficientes no plugin caddy-security, o que pode ser explorado por um invasor remoto para realizar ataques de repetição de OAuth e gerar segredos de autenticação multifatorial e chaves de API inseguras no banco de dados. A biblioteca de geração de números aleatórios insegura usada pelo plugin poderia ser prevista por meio de uma pesquisa de força bruta, permitindo que invasores usassem o valor nonce potencialmente previsível para fins de autenticação no fluxo OAuth.

Recomendações:

Para versões anteriores à 1.0.42, atualize para a versão 1.0.42 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao fluxo OAuth e aos recursos de autenticação multifatorial até que a atualização seja aplicada. Além disso, evite usar o valor nonce potencialmente previsível para fins de autenticação e restrinja a geração de chaves de API no pacote de banco de dados até que o problema seja resolvido.