Vulnerabilidad en WebCrypto (CVE-2022-35255)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
05/12/2022
Última modificación:
24/04/2025
Descripción
Existe una aleatoriedad débil en la vulnerabilidad keygen de WebCrypto en Node.js 18 debido a un cambio con EntropySource() en SecretKeyGenTraits::DoKeyGen() en src/crypto/crypto_keygen.cc. Hay dos problemas con esto: 1) No verifica el valor de retorno, asume que EntropySource() siempre tiene éxito, pero puede (y a veces fallará). 2) Los datos aleatorios devueltos por EntropySource() pueden no ser criptográficamente sólidos y, por lo tanto, no son adecuados como material de claves.
Impacto
Puntuación base 3.x
9.10
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:nodejs:node.js:*:*:*:*:-:*:*:* | 15.0.0 (incluyendo) | 15.14.0 (incluyendo) |
| cpe:2.3:a:nodejs:node.js:*:*:*:*:-:*:*:* | 16.0.0 (incluyendo) | 16.12.0 (incluyendo) |
| cpe:2.3:a:nodejs:node.js:*:*:*:*:lts:*:*:* | 16.13.0 (incluyendo) | 16.17.1 (excluyendo) |
| cpe:2.3:a:nodejs:node.js:*:*:*:*:-:*:*:* | 18.0.0 (incluyendo) | 18.9.1 (excluyendo) |
| cpe:2.3:a:siemens:sinec_ins:*:*:*:*:*:*:*:* | 1.0 (excluyendo) | |
| cpe:2.3:a:siemens:sinec_ins:1.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:siemens:sinec_ins:1.0:sp1:*:*:*:*:*:* | ||
| cpe:2.3:a:siemens:sinec_ins:1.0:sp2:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:11.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://cert-portal.siemens.com/productcert/pdf/ssa-332410.pdf
- https://hackerone.com/reports/1690000
- https://security.netapp.com/advisory/ntap-20230113-0002/
- https://www.debian.org/security/2023/dsa-5326
- https://cert-portal.siemens.com/productcert/pdf/ssa-332410.pdf
- https://hackerone.com/reports/1690000
- https://security.netapp.com/advisory/ntap-20230113-0002/
- https://www.debian.org/security/2023/dsa-5326