CVE-2023-6451
Publicly Known Cryptographic Machine Key In Procura Portal Application
En resumen
El Procura Portal utiliza una clave criptográfica pública conocida que permite a los atacantes crear cookies de autenticación falsas y acceder a cuentas de usuarios sin necesidad de credenciales reales.
Detalle técnico
La aplicación emplea una clave de máquina hardcoded o públicamente divulgada para operaciones criptográficas (CWE-1394). Un atacante no autenticado puede aprovechar esta clave conocida para falsificar tokens de autenticación válidos, eludiendo los mecanismos de autenticación y obteniendo acceso a recursos protegidos. La vulnerabilidad afecta versiones anteriores a la 9.0.1.2.
Resumen generado y traducido por IA a partir de la descripción oficial.
Publicly known cryptographic machine key in AlayaCare's Procura Portal before 9.0.1.2 allows attackers to forge their own authentication cookies and bypass the application's authentication mechanisms.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
Productos afectados
AlayaCare · Procura Portal¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →