Katalog CVE

CVE-2026-11347

WysokieCVSS 8.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.01%

Percentyl 1 - wyżej niż 1% wszystkich znanych CVE

Streszczenie

Aplikacja linqi zawiera zakodowane na stałe klucze kryptograficzne oraz wykorzystuje słaby algorytm z ograniczonym zestawem znaków ASCII do dynamicznego generowania wektorów inicjalizacyjnych (IV) dla szyfrowania AES/CBC. To sprawia, że ataki z wykorzystaniem znanych tekstów jawnych są możliwe.

Ocena ryzyka

Atakujący z lokalnym dostępem może wykorzystać te podatności do odszyfrowania wrażliwych zaszyfrowanych ciągów, w tym wartości ConnectionString zawierających dane uwierzytelniające do bazy danych z pliku appsettings.json.

Rekomendacja

Zaleca się usunięcie zakodowanych na stałe kluczy kryptograficznych oraz zastosowanie silniejszych algorytmów do generowania wektorów inicjalizacyjnych. Należy również zabezpieczyć dostęp do pliku appsettings.json, aby ograniczyć ryzyko wycieku danych.

Oryginalny opis (angielski, źródło NVD)

The linqi application contains hardcoded cryptographic keys. Additionally, the application uses a weak algorithm with a limited ASCII charset to dynamically generate Initialization Vectors (IVs) for AES/CBC encryption, making known-plaintext attacks feasible. An attacker with local access can leverage these vulnerabilities to decrypt sensitive obfuscated strings, including ConnectionString values containing database credentials from appsettings.json.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS