GHSA-h63v-hw6g-x8hp

Опубликовано: 09 дек. 2024

Источник: github

Github: Прошло ревью

CVSS3: 8.2

Описание

Bit flip attack vulnerability in cookie-encrypter

due to a weakness in the encryption method used in cookie-encrypter an attack can use the world visible IV to edit encrypted cookies without decrypting the cookie itself. This is known as an AES CBC bit flipping attack.

Ссылки

Пакеты

Наименование

cookie-encrypter

npm

Затронутые версииВерсия исправления

<= 1.0.1

Отсутствует

EPSS

Процентиль: 20%

0.00065

Низкий

8.2 High

CVSS3

CVE ID

CVE-2024-53441

Дефекты

CWE-325

CWE-327

Связанные уязвимости

CVE-2024-53441

CVSS3: 9.1

nvd

около 1 года назад

An issue in the index.js decryptCookie function of cookie-encrypter v1.0.1 allows attackers to execute a bit flipping attack.

EPSS

Процентиль: 20%

0.00065

Низкий

8.2 High

CVSS3

CVE ID

CVE-2024-53441

Дефекты

CWE-325

CWE-327