PT-2026-42931 · Ulisesbocchio · Jasypt-Spring-Boot
Zyhhoward
·
Publicado
2026-05-24
·
Atualizado
2026-05-24
·
CVE-2026-9370
CVSS v3.1
3.7
Baixa
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
ulisesbocchio jasypt-spring-boot versões anteriores a 3.0.6
ulisesbocchio jasypt-spring-boot versões anteriores a 4.0.5
Description
Uma fraqueza no componente Password Hash Handler permite o uso de um hash unidirecional com um salt previsível. Este problema está localizado na função
getSecretKeySaltGenerator() dentro do arquivo jasypt-spring-boot/src/main/java/com/ulisesbocchio/jasyptspringboot/encryptor/SimpleGCMConfig.java. Um invasor remoto pode explorar isso por meio de manipulação, embora o ataque exija um alto nível de complexidade e seja difícil de executar.Recommendations
No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.
Exploit
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Jasypt-Spring-Boot