CVE-2023-53951
CriticalSummary
Ever Gauzy w wersji 0.281.9 zawiera podatność na uwierzytelnianie JWT, która pozwala atakującym wykorzystać słabą implementację klucza HMAC. Atakujący mogą wykorzystać ujawniony token JWT do uwierzytelnienia i uzyskania nieautoryzowanego dostępu z uprawnieniami administratora.
Risk Assessment
Organizacja narażona jest na nieautoryzowany dostęp do systemu, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych. Potencjalne działania atakujących mogą obejmować m.in. modyfikację danych lub przejęcie kontroli nad systemem.
Recommendation
Zaleca się natychmiastowe zaktualizowanie Ever Gauzy do najnowszej wersji oraz wprowadzenie silniejszych mechanizmów zabezpieczeń dla kluczy HMAC. Należy również przeprowadzić audyt bezpieczeństwa, aby zidentyfikować i usunąć potencjalne zagrożenia.
Original NVD description (English source)
Ever Gauzy v0.281.9 contains a JWT authentication vulnerability that allows attackers to exploit weak HMAC secret key implementation. Attackers can leverage the exposed JWT token to authenticate and gain unauthorized access with administrative permissions.

