CVE-2023-53951
KrytyczneStreszczenie
Ever Gauzy w wersji 0.281.9 zawiera podatność na uwierzytelnianie JWT, która pozwala atakującym wykorzystać słabą implementację klucza HMAC. Atakujący mogą wykorzystać ujawniony token JWT do uwierzytelnienia i uzyskania nieautoryzowanego dostępu z uprawnieniami administratora.
Ocena ryzyka
Organizacja narażona jest na nieautoryzowany dostęp do systemu, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych. Potencjalne działania atakujących mogą obejmować m.in. modyfikację danych lub przejęcie kontroli nad systemem.
Rekomendacja
Zaleca się natychmiastowe zaktualizowanie Ever Gauzy do najnowszej wersji oraz wprowadzenie silniejszych mechanizmów zabezpieczeń dla kluczy HMAC. Należy również przeprowadzić audyt bezpieczeństwa, aby zidentyfikować i usunąć potencjalne zagrożenia.
Oryginalny opis (angielski, źródło NVD)
Ever Gauzy v0.281.9 contains a JWT authentication vulnerability that allows attackers to exploit weak HMAC secret key implementation. Attackers can leverage the exposed JWT token to authenticate and gain unauthorized access with administrative permissions.

