ГлавнаяБаза уязвимостей БДУ → BDU:2024-04316
6.4средняя

BDU:2024-04316

Уязвимость плагина аутентификации caddy-security, связанная с использованием недостаточно случайных значений, позволяющая нарушителю выполнить атаку перехвата OAuth и генерации небезопасных многоразовых проверок подлинности и ключей API в базе данных
Опубликовано: 2024-06-03
Описание

Уязвимость плагина аутентификации caddy-security связана с использованием недостаточно случайных значений. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку перехвата OAuth и генерации небезопасных многоразовых проверок подлинности и ключей API в базе данных

Затрагиваемое ПО и версии
caddy-security (до 1.0.42)
Способ устранения

Использование рекомендаций:
https://github.com/greenpau/caddy-security/issues/265
https://github.com/greenpau/go-authcrunch/commit/ecd3725baf2683eb1519bb3c81ae41085fbf7dc2

Оценка CVSS
Балл6.4 — средняя опасность
Источники и патчи
https://github.com/greenpau/go-authcrunch/commit/ecd3725baf2683eb1519bb3c81ae41085fbf7dc2https://github.com/greenpau/caddy-security/issues/265https://blog.trailofbits.com/2023/09/18/security-flaws-in-an-sso-plugin-for-caddy/https://www.cisa.gov/news-events/bulletins/sb24-051https://vuldb.com/ru/?id.254039
Проверьте безопасность своего сайта и почты → Полная проверка домена