jsrsasign Package bis 8.0.16 auf Node.js RSASSA-PSS Pufferüberlauf

eintrageditHistoryDiffjsonxmlCTI
CVSS Meta Temp Score
Aktueller Exploitpreis (≈)
CTI Interest Score
7.0$0-$5k0.00

Es wurde eine kritische Schwachstelle in jsrsasign Package bis 8.0.16 auf Node.js (JavaScript Library) gefunden. Es betrifft unbekannter Code der Komponente RSASSA-PSS Handler. Dank Manipulation mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-119 vorgenommen. Auswirkungen hat dies auf Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:

An issue was discovered in the jsrsasign package before 8.0.17 for Node.js. Its RSASSA-PSS (RSA-PSS) implementation does not detect signature manipulation/modification by prepending '\0' bytes to a signature (it accepts these modified signatures as valid). An attacker can abuse this behavior in an application by creating multiple valid signatures where only one signature should exist. Also, an attacker might prepend these bytes with the goal of triggering memory corruption issues.

Die Schwachstelle wurde am 22.06.2020 publiziert. Die Identifikation der Schwachstelle wird seit dem 22.06.2020 mit CVE-2020-14968 vorgenommen. Sie ist schwierig auszunutzen. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar.

Ein Aktualisieren auf die Version 8.0.17 vermag dieses Problem zu lösen.

Schwachstellen ähnlicher Art sind dokumentiert unter 157124 und 157123.

Produktinfoedit

Typ

Name

CPE 2.3infoedit

CPE 2.2infoedit

CVSSv3infoedit

VulDB Meta Base Score: 7.3
VulDB Meta Temp Score: 7.0

VulDB Base Score: 4.8
VulDB Temp Score: 4.6
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 9.8
NVD Vector: 🔒

CVSSv2infoedit

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔒

Exploitinginfoedit

Klasse: Pufferüberlauf
CWE: CWE-119
ATT&CK: Unbekannt

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔒
Status: Nicht definiert

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Dayunlockunlockunlockunlock
Heuteunlockunlockunlockunlock

Threat Intelligenceinfoedit

Bedrohungslage: 🔍
Gegner: 🔍
Geopolitik: 🔍
Ökonomie: 🔍
Voraussagen: 🔍
Massnahmen: 🔍

Gegenmassnahmeninfoedit

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔒

Upgrade: jsrsasign Package 8.0.17

Timelineinfoedit

22.06.2020 Advisory veröffentlicht
22.06.2020 +0 Tage CVE zugewiesen
23.06.2020 +1 Tage VulDB Eintrag erstellt
26.10.2020 +125 Tage VulDB letzte Aktualisierung

Quelleninfoedit

Status: Nicht definiert
Bestätigung: 🔒

CVE: CVE-2020-14968 (🔒)
Siehe auch: 🔒

Eintraginfoedit

Erstellt: 23.06.2020 09:48
Aktualisierung: 26.10.2020 14:00
Anpassungen: (1) advisory_confirm_url
Komplett: 🔍

Kommentare

Do you know our Splunk app?

Download it now for free!