Vulnerabilidad en CodeIgniter Shield (CVE-2023-48707)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-312
Almacenamiento de información sensible en texto claro
Fecha de publicación:
24/11/2023
Última modificación:
30/11/2023
Descripción
CodeIgniter Shield es un proveedor de autenticación y autorización para CodeIgniter 4. El valor `secretKey` es una clave importante para la autenticación HMAC SHA256 y en las versiones afectadas se almacenaba en la base de datos en forma de texto plano. Si una persona malintencionada de alguna manera tuviera acceso a los datos de la base de datos, podría usar la clave y la clave secreta para la autenticación HMAC SHA256 para enviar solicitudes haciéndose pasar por ese usuario correspondiente. Este problema se solucionó en la versión 1.0.0-beta.8. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:codeigniter:shield:1.0.0:beta:*:*:*:*:*:* | ||
| cpe:2.3:a:codeigniter:shield:1.0.0:beta2:*:*:*:*:*:* | ||
| cpe:2.3:a:codeigniter:shield:1.0.0:beta3:*:*:*:*:*:* | ||
| cpe:2.3:a:codeigniter:shield:1.0.0:beta4:*:*:*:*:*:* | ||
| cpe:2.3:a:codeigniter:shield:1.0.0:beta5:*:*:*:*:*:* | ||
| cpe:2.3:a:codeigniter:shield:1.0.0:beta6:*:*:*:*:*:* | ||
| cpe:2.3:a:codeigniter:shield:1.0.0:beta7:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página