Apache WSS4J before 1.6.17 and 2.0.x before 2.0.2 improperly leaks information about decryption failures when decrypting an encrypted key or message data, which makes it easier for remote attackers to recover the plaintext form of a symmetric key via a series of crafted messages. NOTE: this vulnerability exists because of an incomplete fix for CVE-2011-2487.

Apache WSS4J在1.6.17之前和2.0.x之前在2.0.2之前，在解加密密钥或消息数据时不当泄露关于解密失败的信息，这使远程攻击者更容易通过一系列构造的消息来恢复对称密钥的正文形式。注意：这是由于CVE-2011-2487的不完全修复而产生的漏洞。

NVD 暂无评分

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

NVD 暂无漏洞类别信息

神龙GPT 暂无漏洞类别信息（请耐心等待）