PT-2025-51880 · Amazon · Amazon S3 Encryption Client For .Net
Normj
·
Publicado
2025-12-17
·
Atualizado
2025-12-22
·
CVE-2025-14759
CVSS v4.0
6.0
Média
| Vetor | AV:N/AC:L/AT:P/PR:L/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
Amazon S3 Encryption Client for .NET versões anteriores à 3.2.0
Descrição
Existe uma falha no Amazon S3 Encryption Client for .NET na qual a ausência de comprometimento de chave criptográfica poderia permitir que um usuário com acesso de gravação em um bucket S3 introduzisse uma nova chave de dados de criptografia (EDK) que descriptografa para um texto claro diferente. Isso é possível quando a chave de dados criptografada é armazenada em um arquivo de instrução em vez do registro de metadados do S3.
Recomendações
Atualize o Amazon S3 Encryption Client for .NET para a versão 3.2.0 ou posterior.
Correção
Use of a Broken Cryptographic Algorithm
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Amazon S3 Encryption Client For .Net