Source |
CVE Liste |
Identifiant |
8403305 |
Date de publication |
2023-10-31 03:15:07 (vue: 2023-10-31 06:07:37) |
Titre |
CVE-2015-20110 |
Texte |
Le générateur Jhipster-Jhipster avant 2.23.0 permet une attaque de synchronisation contre ValidateToken en raison d'une comparaison de cordes qui s'arrête au premier caractère qui est différent.Les attaquants peuvent deviner les jetons en forçant brute un personnage à la fois et en observant le timing.Bien sûr, cela réduit considérablement l'espace de recherche à une quantité linéaire de suppositions basées sur la longueur du jeton fois les caractères possibles.
JHipster generator-jhipster before 2.23.0 allows a timing attack against validateToken due to a string comparison that stops at the first character that is different. Attackers can guess tokens by brute forcing one character at a time and observing the timing. This of course drastically reduces the search space to a linear amount of guesses based on the token length times the possible characters. |
Envoyé |
Oui |
Condensat |
20110 2015 against allows amount attack attackers based before brute can character characters comparison course cve different drastically due first forcing generator guess guesses jhipster length linear observing one possible reduces search space stops string time times timing token tokens validatetoken |
Tags |
|
Stories |
|
Notes |
|
Move |
|