HCL AION страдает от уязвимости, когда предложение изображений не подписано цифровым номером. Отсутствие подписи изображений может позволит…
HCL AION страдает от уязвимости, когда предложение изображений не подписано цифровым номером. Отсутствие подписи изображений может позволить использовать непроверенные или подделанные изображения, что может привести к рискам безопасности, таким как компрометация целостности или непреднамеренное поведение в системе.
Продукт не проверяет или некорректно проверяет криптографическую подпись данных.
https://cwe.mitre.org/data/definitions/347.html →Открыть в коллекции CWE →Злоумышленник способен эффективно расшифровывать данные, не зная ключа дешифрования, если целевая система раскрывает информацию о том, возникла ли ошибка дополнения при расшифровке зашифртекста. Целевая система, утечку такой информации, становится оракулом дополнения, а злоумышленник может использовать этот оракул для эффективной расшифровки данных без знания ключа дешифрования, выполнив в среднем 128*b обращений к оракулу дополнения (где b — количество байт в блоке зашифртекста). Помимо расшифровки, злоумышленник способен также формировать корректные зашифртексты (то есть выполнять шифрование) с использованием оракула дополнения, не зная ключа шифрования.
https://capec.mitre.org/data/definitions/463.html →Открыть в коллекции CAPEC →Злоумышленник эксплуатирует криптографическую слабость в реализации алгоритма проверки подписи для генерации действительной подписи без знания ключа.
https://capec.mitre.org/data/definitions/475.html →Открыть в коллекции CAPEC →