CVE

Vulnerabilidad en DiffieHellman (CVE-2023-30590)

Severidad:
ALTA
Type:
No Disponible / Otro tipo
Fecha de publicación:
28/11/2023
Última modificación:
04/12/2023

Descripción

La función API generateKeys() devuelta por crypto.createDiffieHellman() solo genera claves faltantes (o desactualizadas), es decir, solo genera una clave privada si aún no se ha configurado ninguna, pero la función también es necesaria para calcular la clave pública correspondiente. después de llamar a setPrivateKey(). Sin embargo, la documentación dice que esta llamada API: "Genera valores de clave Diffie-Hellman públicos y privados". El comportamiento documentado es muy diferente del comportamiento real, y esta diferencia podría conducir fácilmente a problemas de seguridad en las aplicaciones que utilizan estas API, ya que DiffieHellman puede usarse como base para la seguridad a nivel de aplicación; en consecuencia, las implicaciones son amplias.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:nodejs:node.js:*:*:*:*:*:*:*:* 16.0.0 (incluyendo) 16.20.1 (excluyendo)
cpe:2.3:a:nodejs:node.js:*:*:*:*:*:*:*:* 18.0.0 (incluyendo) 18.16.1 (excluyendo)
cpe:2.3:a:nodejs:node.js:*:*:*:*:*:*:*:* 20.0.0 (incluyendo) 20.3.1 (excluyendo)


Referencias a soluciones, herramientas e información

Go top