漏洞标题
N/A
漏洞描述信息
在JHipster 6.3.0之前以及JHipster Kotlin至1.1.0期间,由生成器生成的类使用不安全的随机源(Apache.commons.lang3 RandomStringUtils)。这允许攻击者(如果能够获得自己的重置密码链接)计算其他账户所有其他重置密码的值,从而实现权限升级或账户接管。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
A class generated by the Generator in JHipster before 6.3.0 and JHipster Kotlin through 1.1.0 produces code that uses an insecure source of randomness (apache.commons.lang3 RandomStringUtils). This allows an attacker (if able to obtain their own password reset URL) to compute the value for all other password resets for other accounts, thus allowing privilege escalation or account takeover.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
JHipster和JHipster Kotlin 安全特征问题漏洞
漏洞描述信息
JHipster是一款开源的应用程序生成器,它主要使用Angular或React和Spring Framework开发Web应用程序和微服务。JHipster Kotlin是一款基于Kotlin语言的版本。 JHipster 6.3.0之前版本和JHipster Kotlin 1.1.0及之前版本中存在安全特征问题漏洞。该漏洞是源于网络系统或产品中缺少身份验证、访问控制、权限管理等安全措施。
CVSS信息
N/A
漏洞类别
授权问题