Oracle MySQL Workbench 8.0.34 and prior divulgación de información
| CVSS Puntuación meta temporal | Precio actual del exploit (≈) | Puntuación de interés CTI |
|---|---|---|
| 7.3 | $0-$5k | 0.00 |
Resumen
Una vulnerabilidad ha sido encontrada en Oracle MySQL Workbench 8.0.34 and prior y clasificada como crítica. Está afectada una función desconocida en el componente MySQL Workbench. El manejo da lugar a divulgación de información. La vulnerabilidad es identificada como CVE-2023-5363. El ataque puede ser realizado a través de la red. No hay ningún exploit disponible.
Detalles
Una vulnerabilidad fue encontrada en Oracle MySQL Workbench 8.0.34 and prior (Database Software) y clasificada como crítica. Una función desconocida del componente MySQL Workbench es afectada por esta vulnerabilidad. A través de la manipulación de un input desconocido se causa una vulnerabilidad de clase divulgación de información. Esto tiene repercusión sobre la la confidencialidad. El resumen de CVE es:
Resumen del problema: se ha identificado un error en el procesamiento de longitudes de clave y vector de inicialización (IV). Esto puede provocar posibles truncamientos o desbordamientos durante la inicialización de algunos cifrados simétricos. Resumen de impacto: un truncamiento en el IV puede dar como resultado una falta de unicidad, lo que podría resultar en la pérdida de confidencialidad para algunos modos de cifrado. Al llamar a EVP_EncryptInit_ex2(), EVP_DecryptInit_ex2() or EVP_CipherInit_ex2(), la matriz OSSL_PARAM proporcionada se procesa después de que se hayan establecido la clave y el IV. Cualquier modificación en la longitud de la clave, a través del parámetro "keylen" o la longitud del IV, a través del parámetro "ivlen", dentro de la matriz OSSL_PARAM no tendrá efecto según lo previsto, lo que podría provocar el truncamiento o la sobrelectura de estos valores. Los siguientes cifrados y modos de cifrado se ven afectados: RC2, RC4, RC5, CCM, GCM y OCB. Para los modos de cifrado CCM, GCM y OCB, el truncamiento del IV puede provocar una pérdida de confidencialidad. Por ejemplo, al seguir la guía de la sección 8.2.1 SP 800-38D del NIST para construir un IV determinista para AES en modo GCM, el truncamiento de la parte del contador podría llevar a la reutilización del IV. Tanto los truncamientos como los desbordamientos de la clave y del IV producirán resultados incorrectos y, en algunos casos, podrían desencadenar una excepción de memoria. Sin embargo, actualmente estos problemas no se consideran críticos para la seguridad. Cambiar la clave y/o las longitudes de IV no se considera una operación común y la API vulnerable se introdujo recientemente. Además, es probable que los desarrolladores de aplicaciones hayan detectado este problema durante las pruebas, ya que el descifrado fallaría a menos que ambos interlocutores en la comunicación fueran igualmente vulnerables. Por estas razones, esperamos que la probabilidad de que una aplicación sea vulnerable a esto sea bastante baja. Sin embargo, si una aplicación es vulnerable, el problema se considera muy grave. Por estos motivos, hemos evaluado este problema como de gravedad moderada en general. La implementación de OpenSSL SSL/TLS no se ve afectada por este problema. Los proveedores FIPS OpenSSL 3.0 y 3.1 no se ven afectados por esto porque el problema se encuentra fuera de los límites del proveedor FIPS. OpenSSL 3.1 y 3.0 son vulnerables a este problema.La vulnerabilidad fue publicada el 2024-01-16 con identificación Oracle Critical Patch Update Advisory - January 2024 (confirmado). El advisory puede ser descargado de oracle.com. La vulnerabilidad es identificada como CVE-2023-5363. No se conoce los detalles técnicos ni hay ningún exploit disponible.
Para el scanner Nessus se dispone de un plugin ID 211573 (Oracle Linux 9 : openssl / and / openssl-fips-provider (ELSA-2024-9333)), que puede ayudar a determinar la existencia del riesgo analizado.
Una solución posible ha sido publicada inmediatamente después de la publicación de la vulnerabilidad.
La vulnerabilidad también está documentado en la base de datos Tenable (211573). Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Producto
Escribe
Proveedor
Nombre
Versión
Licencia
Sitio web
- Proveedor: https://www.oracle.com
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Confiabilidad: 🔍
CVSSv3
VulDB Puntuación meta base: 7.5VulDB Puntuación meta temporal: 7.3
VulDB Puntuación base: 7.5
VulDB Puntuación temporal: 7.2
VulDB Vector: 🔍
VulDB Confiabilidad: 🔍
NVD Puntuación base: 7.5
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complejidad | Autenticación | Confidencialidad | Integridad | Disponibilidad |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Puntuación base: 🔍
VulDB Puntuación temporal: 🔍
VulDB Confiabilidad: 🔍
Explotación
Clase: Divulgación de informaciónCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Físico: No
Local: No
Remoto: Sí
Disponibilidad: 🔍
Estado: No está definido
EPSS Score: 🔍
EPSS Percentile: 🔍
Predicción de precios: 🔍
Estimación del precio actual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoy | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Nessus ID: 211573
Nessus Nombre: Oracle Linux 9 : openssl / and / openssl-fips-provider (ELSA-2024-9333)
Inteligencia de amenazas
Interés: 🔍Actores activos: 🔍
Grupos APT activos: 🔍
Contramedidas
Recomendación: no contramedida conocidaEstado: 🔍
Tiempo de reacción: 🔍
Hora de 0 días: 🔍
Tiempo de exposición: 🔍
Parche: 0df40630850fb2740e6be6890bb905d3fc623b2d
Línea de tiempo
2023-10-03 🔍2024-01-16 🔍
2024-01-16 🔍
2024-01-17 🔍
2025-12-02 🔍
Fuentes
Proveedor: oracle.comAviso: Oracle Critical Patch Update Advisory - January 2024
Estado: Confirmado
CVE: CVE-2023-5363 (🔍)
GCVE (CVE): GCVE-0-2023-5363
GCVE (VulDB): GCVE-100-251259
Artículo
Fecha de creación: 2024-01-17 09:10Actualizado: 2025-12-02 22:15
Cambios: 2024-01-17 09:10 (39), 2024-02-09 22:25 (4), 2024-02-09 22:33 (10), 2024-10-14 19:11 (16), 2024-11-19 14:15 (2), 2025-12-02 22:15 (1)
Completo: 🔍
Cache ID: 216::103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Sin comentarios aún. Idiomas: es + pt + en.
Por favor, inicie sesión para comentar.