CVE-2024-8796

Опубликовано: 17 сент. 2024

Источник: nvd

CVSS3: 5.3

EPSS Низкий

Описание

Under the default configuration, Devise-Two-Factor versions >= 2.2.0 & < 6.0.0 generate TOTP shared secrets that are 120 bits instead of the 128-bit minimum defined by RFC 4226. Using a shared secret shorter than the minimum to generate a multi-factor authentication code could make it easier for an attacker to guess the shared secret and generate valid TOTP codes.

Ссылки

https://github.com/devise-two-factor/devise-two-factor/security/advisories/GHSA-qjxf-mc72-wjr2
Mitigation
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:tinfoilsecurity:devise-two-factor:*:*:*:*:*:*:*:*

Версия от 4.0.0 (включая) до 6.0.0 (исключая)

cpe:2.3:a:tinfoilsecurity:devise-two-factor:1.0.0:*:*:*:*:*:*:*

EPSS

Процентиль: 46%

0.00236

Низкий

5.3 Medium

CVSS3

Дефекты

CWE-331

Связанные уязвимости

CVE-2024-8796

CVSS3: 5.3

ubuntu

больше 1 года назад

CVE-2024-8796

CVSS3: 5.3

debian

больше 1 года назад

Under the default configuration, Devise-Two-Factor versions >= 2.2.0 & ...

GHSA-qjxf-mc72-wjr2

CVSS3: 5.3

github

больше 1 года назад

Devise-Two-Factor Authentication Uses Insufficient Default OTP Shared Secret Length

EPSS

Процентиль: 46%

0.00236

Низкий

5.3 Medium

CVSS3

Дефекты

CWE-331