Vulnerabilidad en nano-id (CVE-2024-36400)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-331 Entropía insuficiente

Fecha de publicación:

04/06/2024

Última modificación:

10/06/2024

Descripción

nano-id es un generador de ID de cadena único para Rust. Las versiones afectadas de la caja nano-id generaron identificaciones incorrectamente utilizando un conjunto de caracteres reducido en las funciones `nano_id::base62` y `nano_id::base58`. Específicamente, la función "base62" usó un conjunto de caracteres de 32 símbolos en lugar de los 62 símbolos previstos, y la función "base58" usó un conjunto de caracteres de 16 símbolos en lugar de los 58 símbolos previstos. Además, la macro `nano_id::gen` también se ve afectada cuando se especifica un conjunto de caracteres personalizado que no tiene un tamaño de potencia de 2. Cabe señalar que `nano_id::base64` no se ve afectado por esta vulnerabilidad. Esto puede dar como resultado una reducción significativa de la entropía, lo que hace que los ID generados sean predecibles y vulnerables a ataques de fuerza bruta cuando los ID se utilizan en contextos sensibles a la seguridad, como tokens de sesión o identificadores únicos. La vulnerabilidad se solucionó en 0.4.0.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto