Vulnerabilidad en JHipster generador-jhipster (CVE-2015-20110)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
31/10/2023
Última modificación:
08/11/2023
Descripción
JHipster generador-jhipster anterior a 2.23.0 permite un ataque de tiempo contra validarToken debido a una comparación de cadenas que se detiene en el primer carácter que es diferente. Los atacantes pueden adivinar fichas forzando bruscamente un personaje a la vez y observando el tiempo. Por supuesto, esto reduce drásticamente el espacio de búsqueda a una cantidad lineal de conjeturas basadas en la longitud del token multiplicada por los caracteres posibles.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:jhipster:jhipster:*:*:*:*:*:*:*:* | 2.23.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/jhipster/generator-jhipster/commit/79fe5626cb1bb80f9ac86cf46980748e65d2bdbc
- https://github.com/jhipster/generator-jhipster/commit/7c49ab3d45dc4921b831a2ca55fb1e2a2db1ee25
- https://github.com/jhipster/generator-jhipster/compare/v2.22.0...v2.23.0
- https://github.com/jhipster/generator-jhipster/issues/2095