Vulnerabilidad en la verificación de firmas en STMicroelectronics STSAFE-J, J-SAFE3 y J-SIGN (CVE-2021-43393)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
04/03/2022
Última modificación:
10/03/2022
Descripción
STMicroelectronics STSAFE-J 1.1.4, J-SAFE3 1.2.5, y J-SIGN a veces permiten a atacantes abusar de la verificación de firmas. Esto está asociado con el algoritmo de firma ECDSA en las plataformas Java Card J-SAFE3 y STSAFE-J que exponen una API Java Card versión 3.0.4. Es explotable para STSAFE-J en configuración cerrada y J-SIGN (cuando la verificación de firmas está activada) pero no para los productos J-SAFE3 EPASS BAC y EAC. También podría afectar a otros productos basados en la plataforma J-SAFE-3 Java Card
Impacto
Puntuación base 3.x
6.20
Gravedad 3.x
MEDIA
Puntuación base 2.0
1.90
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:st:stsafe-j_firmware:1.1.4:*:*:*:*:*:*:* | ||
| cpe:2.3:h:st:stsafe-j:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:st:j-safe3_firmware:1.2.5:*:*:*:*:*:*:* | ||
| cpe:2.3:h:st:j-safe3:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página