漏洞标题
N/A
漏洞描述信息
# 漏洞描述
## 概述
Apache WSS4J在处理解密操作时,存在信息泄露漏洞。攻击者可以通过一系列精心构造的消息,更轻松地恢复出对称密钥的明文形式。
## 影响版本
- Apache WSS4J 1.6.17 之前的版本
- Apache WSS4J 2.0.x 2.0.2 之前的版本
## 细节
该漏洞是由于在对加密密钥或消息数据进行解密时,对解密失败的信息处理不当所导致。这是因为对CVE-2011-2487的修复不完全,导致了此次新的漏洞。
## 影响
该漏洞使得远程攻击者能够利用精心构造的消息序列,更容易地恢复出对称密钥的明文形式。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Apache WSS4J before 1.6.17 and 2.0.x before 2.0.2 improperly leaks information about decryption failures when decrypting an encrypted key or message data, which makes it easier for remote attackers to recover the plaintext form of a symmetric key via a series of crafted messages. NOTE: this vulnerability exists because of an incomplete fix for CVE-2011-2487.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Apache WSS4J 加密问题漏洞
漏洞描述信息
Apache WSS4J是美国阿帕奇(Apache)基金会的一个Web服务安全规范 (OASIS Web Service Security , WS-Security) 的 Java 实现。 Apache WSS4J 1.6.17之前的版本和2.0.2之前的2.0.x版本中存在加密问题漏洞。该漏洞源于网络系统或产品未正确使用相关密码算法,导致内容未正确加密、弱加密、明文存储敏感信息等。
CVSS信息
N/A
漏洞类别
加密问题