CVE-2024-11619

macrozheng mall JWT Token default key

CVSS 2.3 LOWEPSS 0.7%CWE-1394

Em resumo

O aplicativo macrozheng mall usa uma chave de criptografia padrão para tokens JWT, o que significa que um atacante que conhece essa chave poderia potencialmente criar tokens de autenticação falsos. Embora a exploração seja difícil, isso compromete a segurança da autenticação dos usuários.

Detalhe técnico

O manipulador de Tokens JWT no macrozheng mall versão 1.0.3 e anteriores utiliza uma chave criptográfica padrão codificada (CWE-1394). Um atacante com conhecimento dessa chave pode forjar tokens JWT válidos para contornar mecanismos de autenticação, embora a exploração prática exija alta complexidade técnica e tenha sido considerada difícil de executar.

Resumo gerado e traduzido por IA a partir da descrição oficial.

A vulnerability, which was classified as problematic, has been found in macrozheng mall up to 1.0.3. Affected by this issue is some unknown functionality of the component JWT Token Handler. The manipulation leads to use of default cryptographic key. The complexity of an attack is rather high. The exploitation is known to be difficult. The vendor was contacted early about this disclosure but did not respond in any way. Instead the issue posted on GitHub got deleted without any explanation.

CVSS:4.0/AV:A/AC:H/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N

Produtos afetados

macrozheng · mall

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/macrozheng/mall/issues/880 https://vuldb.com/?ctiid.285842 https://vuldb.com/?id.285842 https://vuldb.com/?submit.444666