漏洞标题
N/A
漏洞描述信息
## 漏洞概述
JHipster generator-jhipster 在 2.23.0 之前的版本中,由于在 validateToken 函数中的字符串比较在遇到第一个不同字符时就停止,从而允许执行时间攻击。攻击者可以通过逐个字符的暴力猜测,并观察时间差异来猜测令牌。
## 影响版本
- 2.23.0 之前的版本
## 漏洞细节
在 validateToken 函数中的字符串比较会在遇到第一个不同的字符时立即停止。这种行为允许攻击者通过逐个字符的暴力破解方式,并通过观察执行时间的差异来猜测令牌。
## 漏洞影响
这种时间攻击方式将搜索空间大大减少到基于令牌长度和可能的字符数的线性猜测数量。因此,可以显著加快对令牌的暴力破解过程。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
漏洞类别
通过差异性导致的信息暴露
漏洞标题
N/A
漏洞描述信息
JHipster generator-jhipster before 2.23.0 allows a timing attack against validateToken due to a string comparison that stops at the first character that is different. Attackers can guess tokens by brute forcing one character at a time and observing the timing. This of course drastically reduces the search space to a linear amount of guesses based on the token length times the possible characters.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
JHipster 安全漏洞
漏洞描述信息
JHipster是一款开源的应用程序生成器,它主要使用Angular或React和Spring Framework开发Web应用程序和微服务。 JHipster Generator-jhipster 2.23.0 之前版本存在安全漏洞,该漏洞源于允许对 validateToken 进行定时攻击,攻击者利用该漏洞可以通过暴力破解猜测令牌。
CVSS信息
N/A
漏洞类别
其他