CVE-2025-47945

CVE

Критический

Открытое приложение Donetick для управления задачами и делами. До версии 0.1.44 приложение использует JSON Web Tokens (JWT) для аутентифика…

CVSS

9.8

Критический

EPSS

0.00

p57

Опубликовано

2025-01-01

Обновлено

2025-01-01

Описание

Открытое приложение Donetick для управления задачами и делами. До версии 0.1.44 приложение использует JSON Web Tokens (JWT) для аутентификации, но секретный ключ подписи имеет слабое значение по умолчанию. Хотя ответственность за изменение этого значения лежит на системном администраторе, такой подход является неадекватным. Существование проблемы в рабочей версии подтверждает её наличие. Эта проблема может привести к полному захвату аккаунта любого пользователя. Версия 0.1.44 содержит исправление [1]. Проблема связана со слабым значением секретного ключа JWT, что позволяет злоумышленникам создавать токены и захватывать учетные записи [2]. Источники: - [1] https://github.com/donetick/donetick/security/advisories/GHSA-hjjg-vw4j-986x - [2] https://github.com/donetick/donetick/commit/620b897bc0135f6668bb8a5562678104531108eb - [3] https://github.com/donetick/donetick/commit/b9a6e177eefdc605dedbc5320f0d93d6573d1db6

Теги · CWE

Без аутентификации

CWE-453

Затронутые продукты

Donetick < 0.1.44

Вектор CVSS

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Хронология

2025-01-01

Опубликована

2025-01-01

Обновлена

Разбор CVSS 3.1

Вектор атаки

AV: N

Сеть (N)

Сложность атаки

AC: L

Низкая (L)

Требуемые привилегии

PR: N

Отсутствуют (N)

Взаимодействие с пользователем

UI: N

Отсутствует (N)

Область воздействия

S: U

Неизменная (U)

Воздействие на конфиденциальность

C: H

Высокое (H)

Воздействие на целостность

I: H

Высокое (H)

Воздействие на доступность

A: H

Высокое (H)

Индикаторы эксплуатации

EPSS

0.003 · p57

Известна эксплуатация (KEV)

Нет

Проверки Сканер-ВС

Проверок Сканер-ВС для этой уязвимости в базе пока нет.

Уязвимое ПО

Продукт	Вендор	Статус
donetick	*	Отслеживается

Источники данных

CVE