Vulnerabilidad en la clase BCrypt con el máximo factor de trabajo en Spring Security (CVE-2022-22976)
Severidad:
MEDIA
Type:
CWE-190
Desbordamiento o ajuste de enteros
Fecha de publicación:
19/05/2022
Última modificación:
13/06/2024
Descripción
Spring Security versiones 5.5.x anteriores a 5.5.7, 5.6.x anteriores a 5.6.4 y versiones anteriores no soportadas, contienen una vulnerabilidad de desbordamiento de enteros. Cuando es usada la clase BCrypt con el máximo factor de trabajo (31), el codificador no lleva a cabo ninguna ronda salt, debido a un error de desbordamiento de enteros. La configuración por defecto no está afectada por esta CVE
Impacto
Puntuación base 3.x
5.30
Severidad 3.x
MEDIA
Puntuación base 2.0
4.30
Severidad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:vmware:spring_security:*:*:*:*:*:*:*:* | 5.2.1 (incluyendo) | 5.5.7 (excluyendo) |
cpe:2.3:a:vmware:spring_security:*:*:*:*:*:*:*:* | 5.6.0 (incluyendo) | 5.6.4 (excluyendo) |
cpe:2.3:a:vmware:spring_security:5.2.0:-:*:*:*:*:*:* | ||
cpe:2.3:a:oracle:financial_services_crime_and_compliance_management_studio:8.0.8.2.0:*:*:*:*:*:*:* | ||
cpe:2.3:a:oracle:financial_services_crime_and_compliance_management_studio:8.0.8.3.0:*:*:*:*:*:*:* | ||
cpe:2.3:a:netapp:active_iq_unified_manager:-:*:*:*:*:linux:*:* | ||
cpe:2.3:a:netapp:active_iq_unified_manager:-:*:*:*:*:vmware_vsphere:*:* | ||
cpe:2.3:a:netapp:active_iq_unified_manager:-:*:*:*:*:windows:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página