CVE-2026-11347
WysokieCVSS 8.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 1 - wyżej niż 1% wszystkich znanych CVE
Streszczenie
Aplikacja linqi zawiera zakodowane na stałe klucze kryptograficzne oraz wykorzystuje słaby algorytm z ograniczonym zestawem znaków ASCII do dynamicznego generowania wektorów inicjalizacyjnych (IV) dla szyfrowania AES/CBC. To sprawia, że ataki z wykorzystaniem znanych tekstów jawnych są możliwe.
Ocena ryzyka
Atakujący z lokalnym dostępem może wykorzystać te podatności do odszyfrowania wrażliwych zaszyfrowanych ciągów, w tym wartości ConnectionString zawierających dane uwierzytelniające do bazy danych z pliku appsettings.json.
Rekomendacja
Zaleca się usunięcie zakodowanych na stałe kluczy kryptograficznych oraz zastosowanie silniejszych algorytmów do generowania wektorów inicjalizacyjnych. Należy również zabezpieczyć dostęp do pliku appsettings.json, aby ograniczyć ryzyko wycieku danych.
Oryginalny opis (angielski, źródło NVD)
The linqi application contains hardcoded cryptographic keys. Additionally, the application uses a weak algorithm with a limited ASCII charset to dynamically generate Initialization Vectors (IVs) for AES/CBC encryption, making known-plaintext attacks feasible. An attacker with local access can leverage these vulnerabilities to decrypt sensitive obfuscated strings, including ConnectionString values containing database credentials from appsettings.json.

