Vulnerabilidad en crypto-js (CVE-2023-46233)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-327 Uso de algoritmo criptográfico vulnerable o inseguro

Fecha de publicación:

25/10/2023

Última modificación:

27/11/2023

Descripción

crypto-js es una librería JavaScript de estándares criptográficos. Antes de la versión 4.2.0, crypto-js PBKDF2 era 1000 veces más débil de lo especificado originalmente en 1993 y al menos 1.300.000 veces más débil que el estándar actual de la industria. Esto se debe a que su valor predeterminado es SHA1, un algoritmo hash criptográfico considerado inseguro desde al menos 2005, y su valor predeterminado es una única iteración, un valor de "fuerza" o "dificultad" especificado en 1000 cuando se especificó en 1993. PBKDF2 se basa en el recuento de iteraciones como una contramedida a los ataques de preimagen y colisión. Si se utiliza para proteger contraseñas, el impacto es alto. Si se utiliza para generar firmas, el impacto es alto. La versión 4.2.0 contiene un parche para este problema. Como workaround, configure crypto-js para usar SHA256 con al menos 250 000 iteraciones.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.10 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno