漏洞标题
N/A
漏洞描述信息
在Object First Ootbi BETA build 1.0.7.712中发现一个问题。授权服务有一个流程,允许在不知晓身份凭据的情况下访问Web UI。为了签名,JWT令牌使用一个秘密钥,该钥是通过一个生成不产生 cryptographic 强度序列的函数生成的。攻击者可以预测这些序列并生成JWT令牌。因此,攻击者可以访问Web UI。这个问题在Object First Ootbi BETA build 1.0.13.1611中被修复。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
An issue was discovered in Object First Ootbi BETA build 1.0.7.712. The authorization service has a flow that allows getting access to the Web UI without knowing credentials. For signing, the JWT token uses a secret key that is generated through a function that doesn't produce cryptographically strong sequences. An attacker can predict these sequences and generate a JWT token. As a result, an attacker can get access to the Web UI. This is fixed in Object First Ootbi BETA build 1.0.13.1611.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Object First 安全特征问题特征问题漏洞
漏洞描述信息
Object First是Object First公司的一个 Veeam 的最佳存储解决方案。 Object First 1.0.7.712版本存在安全特征问题漏洞,该漏洞源于JWT令牌使用不产生加密强序列的函数生成的密钥,攻击者可以预测这些序列并生成JWT令牌,允许攻击者在不知道凭据的情况下访问Web UI。
CVSS信息
N/A
漏洞类别
授权问题