V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
К каталогу
CVE-2022-31142
CVE
Высокий

@fastify/bearer-auth — это плагин Fastify, требующий заголовки авторизации Bearer. @fastify/bearer-auth до версий 7.0.2 и 8.0.1 небезопасно…

CVSS
7.5
Высокий
EPSS
0.01
p62
Опубликовано
2022-01-01
Обновлено
2022-01-01
Описание

@fastify/bearer-auth — это плагин Fastify, требующий заголовки авторизации Bearer. @fastify/bearer-auth до версий 7.0.2 и 8.0.1 небезопасно использует crypto.timingSafeEqual. Злоумышленник может оценить длину одного действительного токена Bearer. Согласно соответствующему RFC 6750, токен Bearer имеет только допустимые символы base64, что уменьшает диапазон символов для атаки методом грубой силы. Версии 7.0.2 и 8.0.1 @fastify/bearer-auth содержат исправление. В настоящее время нет известных обходных путей. Пакет fastify-bearer-auth, который охватывает версии 6.0.3 и более ранние, также уязвим, начиная с версии 5.0.1. Пользователям fastify-bearer-auth следует обновиться до исправленной версии @fastify/bearer-auth.

Теги · CWE
Без аутентификации
CWE-208
CAPEC-462
CAPEC-541
CAPEC-580
Затронутые продукты
Bearer-auth 5.0.1–7.0.2Bearer-auth
Вектор CVSS
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Хронология
2022-01-01
Опубликована
2022-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: H
Высокое (H)
Воздействие на целостность
I: N
Отсутствует (N)
Воздействие на доступность
A: N
Отсутствует (N)
Индикаторы эксплуатации
EPSS
0.012 · p62
Известна эксплуатация (KEV)
Нет
MITRE ATT&CK
Выводимые через CAPEC
└ через CAPEC-580 · CWE-208
└ через CAPEC-541 · CWE-208
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
Fastify
Bearer-auth
ПродуктВендорСтатус
bearer-auth*Отслеживается
Источники данных
CVE