CVE-2026-50268
NiskieCVSS 1.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 0 — wyżej niż 0% wszystkich znanych CVE
Streszczenie
W wersjach 4.0.0 do 4.1.0 biblioteki Steeltoe.Configuration.Encryption, konfiguracja `encrypt:rsa:algorithm=OAEP` nie włącza szyfrowania OAEP z powodu błędnego ciągu transformacji BouncyCastle. Ustawienie `OAEP` wybiera algorytm PKCS#1 v1.5, co jest równoważne ustawieniu `DEFAULT`.
Ocena ryzyka
Organizacje mogą być narażone na ataki, które wykorzystują słabości algorytmu PKCS#1 v1.5, co może prowadzić do nieautoryzowanego dostępu do danych.
Rekomendacja
Zaleca się aktualizację do wersji 4.2.0 biblioteki Steeltoe.Configuration.Encryption, aby naprawić tę podatność.
Oryginalny opis (angielski, źródło NVD)
Steeltoe is an open source project that provides a collection of libraries that helps users build cloud-native applications. In Steeltoe.Configuration.Encryption 4.0.0 through 4.1.0, configuring `encrypt:rsa:algorithm=OAEP` does not enable OAEP encryption. Due to an incorrect BouncyCastle transformation string, the `OAEP` setting selects PKCS#1 v1.5, which is the same algorithm as the `DEFAULT` setting. Steeltoe.Configuration.Encryption version 4.2.0 patches the issue.

