For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00395
Identificador(es)
ASA-2019-00395, CVE-2019-11272
Título
PlaintextPasswordEncoder autentica senhas codificadas que são nulas
Fabricante(s)
Pivotal
Produto(s)
Spring Security
Versão(ões) afetada(s)
Spring Security versões 4.2 até 4.2.12
Versão(ões) corrigida(s)
Spring Security versão 4.2.13
Prova de conceito
Desconhecido
Descrição
Spring Security, versões 4.2.x até 4.2.12, e versões mais antigas não suportadas suportam senhas de texto simples usando PlaintextPasswordEncoder. Se um aplicativo que usa uma versão afetada do Spring Security estiver aproveitando PlaintextPasswordEncoder e um usuário tiver uma senha codificada nula, um usuário mal-intencionado (ou atacante) poderá autenticar usando uma senha “nula”.
Detalhes técnicos
Desconhecido
Créditos
Tim Büthe(mytaxi) and Daniel Neagaru(mytaxi)
Referência(s)
CVE-2019-11272: PlaintextPasswordEncoder authenticates encoded passwords that are null
https://pivotal.io/security/cve-2019-11272
CVE-2019-11272
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11272
CVE-2019-11272
https://nvd.nist.gov/vuln/detail/CVE-2019-11272
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 29 junho 2019