CVE-2024-11619

macrozheng mall JWT Token default key

CVSS 2.3 LOWEPSS 0.7%CWE-1394

En resumen

La aplicación macrozheng mall utiliza una clave de cifrado predeterminada para tokens JWT, lo que significa que un atacante que conoce esta clave podría crear tokens de autenticación falsificados. Aunque la explotación es difícil, socava la seguridad de la autenticación de usuarios.

Detalle técnico

El manejador de Tokens JWT en macrozheng mall versión 1.0.3 y anteriores depende de una clave criptográfica predeterminada codificada (CWE-1394). Un atacante con conocimiento de la clave predeterminada y alta complejidad técnica puede falsificar tokens JWT válidos para eludir mecanismos de autenticación, aunque la explotación práctica es difícil de lograr.

Resumen generado y traducido por IA a partir de la descripción oficial.

A vulnerability, which was classified as problematic, has been found in macrozheng mall up to 1.0.3. Affected by this issue is some unknown functionality of the component JWT Token Handler. The manipulation leads to use of default cryptographic key. The complexity of an attack is rather high. The exploitation is known to be difficult. The vendor was contacted early about this disclosure but did not respond in any way. Instead the issue posted on GitHub got deleted without any explanation.

CVSS:4.0/AV:A/AC:H/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N

Productos afectados

macrozheng · mall

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/macrozheng/mall/issues/880 https://vuldb.com/?ctiid.285842 https://vuldb.com/?id.285842 https://vuldb.com/?submit.444666