Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

github логотип

GHSA-c7vf-m394-m4x4

Опубликовано: 17 фев. 2024
Источник: github
Github: Прошло ревью
CVSS3: 6.5

Описание

Use of Insufficiently Random Values in github.com/greenpau/caddy-security

Versions of the package github.com/greenpau/caddy-security before 1.0.42 are vulnerable to Insecure Randomness due to using an insecure random number generation library which could possibly be predicted via a brute-force search. Attackers could use the potentially predictable nonce value used for authentication purposes in the OAuth flow to conduct OAuth replay attacks. In addition, insecure randomness is used while generating multifactor authentication (MFA) secrets and creating API keys in the database package.

Ссылки

Пакеты

Наименование

github.com/greenpau/caddy-security

go
Затронутые версииВерсия исправления

<= 1.0.42

Отсутствует

EPSS

Процентиль: 32%
0.00126
Низкий

6.5 Medium

CVSS3

CVE ID

CVE-2024-21495

Дефекты

CWE-330

Связанные уязвимости

nvd логотип

CVE-2024-21495

CVSS3: 6.5
nvd
почти 2 года назад

Versions of the package github.com/greenpau/caddy-security before 1.0.42 are vulnerable to Insecure Randomness due to using an insecure random number generation library which could possibly be predicted via a brute-force search. Attackers could use the potentially predictable nonce value used for authentication purposes in the OAuth flow to conduct OAuth replay attacks. In addition, insecure randomness is used while generating multifactor authentication (MFA) secrets and creating API keys in the database package.

fstec логотип

BDU:2024-04316

CVSS3: 6.5
fstec
почти 2 года назад

Уязвимость плагина аутентификации caddy-security, связанная с использованием недостаточно случайных значений, позволяющая нарушителю выполнить атаку перехвата OAuth и генерации небезопасных многоразовых проверок подлинности и ключей API в базе данных

EPSS

Процентиль: 32%
0.00126
Низкий

6.5 Medium

CVSS3

CVE ID

CVE-2024-21495

Дефекты

CWE-330