CVE-2020-5408
Data: 2022-11-14
Severity: Medium
CVSS Score: 6.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)
Riferimenti: https://nvd.nist.gov/vuln/detail/CVE-2020-5408
Libreria: org.springframework.security:spring-security-crypto <= 5.3.2
Descrizione
Spring Security versions 5.3.x prior to 5.3.2, 5.2.x prior to 5.2.4, 5.1.x prior to 5.1.10, 5.0.x prior to 5.0.16 and 4.2.x prior to 4.2.16 use a fixed null initialization vector with CBC Mode in the implementation of the queryable text encryptor. A malicious user with access to the data that has been encrypted using such an encryptor may be able to derive the unencrypted values using a dictionary attack.
Falso Positivo per GovWay
La versione utilizzata in GovWay è superiore alla “5.3.2” quindi la segnalazione è considerabile un falso positivo.
Dalle discussioni degli issues 287 e 284 del repository “OSSIndex” si possono comprendere i motivi della segnalazione: nelle versioni precedenti alla 6.x spring-security ha solamente deprecato l’utilizzo degli oggetti vulnerabili. Nel progetto GovWay comunque il metodo oggetto della vulnerabilità ( Encryptors#queryableText(CharSequence, CharSequence) ) non viene utilizzato.
Configuration File: false-positive.xml