ASA-2019-00395 – Pivotal Spring Security: PlaintextPasswordEncoder autentica senhas codificadas que são nulas

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00395

Identificador(es)

ASA-2019-00395, CVE-2019-11272

Título

PlaintextPasswordEncoder autentica senhas codificadas que são nulas

Fabricante(s)

Pivotal

Produto(s)

Spring Security

Versão(ões) afetada(s)

Spring Security versões 4.2 até 4.2.12

Versão(ões) corrigida(s)

Spring Security versão 4.2.13

Prova de conceito

Desconhecido

Descrição

Spring Security, versões 4.2.x até 4.2.12, e versões mais antigas não suportadas suportam senhas de texto simples usando PlaintextPasswordEncoder. Se um aplicativo que usa uma versão afetada do Spring Security estiver aproveitando PlaintextPasswordEncoder e um usuário tiver uma senha codificada nula, um usuário mal-intencionado (ou atacante) poderá autenticar usando uma senha “nula”.

Detalhes técnicos

Desconhecido

Créditos

Tim Büthe(mytaxi) and Daniel Neagaru(mytaxi)

Referência(s)

CVE-2019-11272: PlaintextPasswordEncoder authenticates encoded passwords that are null
https://pivotal.io/security/cve-2019-11272

CVE-2019-11272
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11272

CVE-2019-11272
https://nvd.nist.gov/vuln/detail/CVE-2019-11272

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 29 junho 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.