Vulnerabilidad en WebAuthn4J Spring Security (CVE-2023-45669)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-287 Autenticación incorrecta

Fecha de publicación:

16/10/2023

Última modificación:

20/10/2023

Descripción

WebAuthn4J Spring Security proporciona soporte de especificación de autenticación web para aplicaciones Spring. Las versiones afectadas están sujetas a un manejo inadecuado del valor del contador de firmas. Se encontró una falla en webautn4j-spring-security-core. Cuando un autenticador devuelve un valor de contador de firma incrementado durante la autenticación, webauthn4j-spring-security-core no conserva correctamente el valor, lo que significa que la detección del autenticador clonado no funciona. Un atacante que clonó un autenticador válido de alguna manera puede utilizar el autenticador clonado sin ser detectado. Este problema se solucionó en la versión `0.9.1.RELEASE`. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno