Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en URL de restablecimiento de contraseña en el Generator en Jhipster y JHipster Kotlin (CVE-2019-16303)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
14/09/2019
Última modificación:
07/11/2023

Descripción

Una clase generada mediante el Generator en JHipster versiones anteriores a 6.3.0 y JHipster Kotlin versiones hasta 1.1.0, produce código que utiliza una fuente no segura de aleatoriedad (apache.commons.lang3 RandomStringUtils). Esto permite a un atacante (si es capaz de obtener su propia URL de restablecimiento de contraseña) calcular el valor de todos los demás restablecimientos de contraseña para otras cuentas, permitiendo la escalada de privilegios o la toma de control de la cuenta.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:jhipster:jhipster:*:*:*:*:*:*:*:* 6.3.0 (excluyendo)
cpe:2.3:a:jhipster:jhipster_kotlin:*:*:*:*:*:*:*:* 1.1.0 (incluyendo)