Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

github логотип

GHSA-54mg-vgrp-mwx9

Опубликовано: 14 мая 2019
Источник: github
Github: Прошло ревью
CVSS3: 3.7

Описание

Use of Cryptographically Weak Pseudo-Random Number Generator (PRNG) in Ratpack

Ratpack versions before 1.6.1 generate a session ID using a cryptographically weak PRNG in the JDK's ThreadLocalRandom. This means that if an attacker can determine a small window for the server start time and obtain a session ID value, they can theoretically determine the sequence of session IDs.

Ссылки

Пакеты

Наименование

io.ratpack:ratpack-session

maven
Затронутые версииВерсия исправления

< 1.6.1

1.6.1

Наименование

io.ratpack:ratpack-java

maven
Затронутые версииВерсия исправления

< 1.6.1

1.6.1

Наименование

io.ratpack:ratpack-groovy

maven
Затронутые версииВерсия исправления

< 1.6.1

1.6.1

EPSS

Процентиль: 53%
0.00297
Низкий

3.7 Low

CVSS3

CVE ID

CVE-2019-11808

Дефекты

CWE-338

Связанные уязвимости

nvd логотип

CVE-2019-11808

CVSS3: 3.7
nvd
почти 7 лет назад

Ratpack versions before 1.6.1 generate a session ID using a cryptographically weak PRNG in the JDK's ThreadLocalRandom. This means that if an attacker can determine a small window for the server start time and obtain a session ID value, they can theoretically determine the sequence of session IDs.

EPSS

Процентиль: 53%
0.00297
Низкий

3.7 Low

CVSS3

CVE ID

CVE-2019-11808

Дефекты

CWE-338