CRITICAL🇬🇧 English

CVE-2024-25190

Auth Bypass przez timing side channel w bibliotece l8w8jwt (GlitchedPolygons)

CVSS 9.8v3.1pub. 2024-02-08upd. 2024-11-21

Biblioteka l8w8jwt w wersji 2.2.1 używa funkcji memcmp do weryfikacji tokenów JWT, która nie działa w stałym czasie, co umożliwia obejście uwierzytelnienia poprzez atak typu timing side channel. Jest to podatność o krytycznym poziomie CVSS 9.8, nie wymagająca żadnych uprawnień ani interakcji użytkownika.

Pokaż oryginał (EN)

l8w8jwt 2.2.1 uses memcmp (which is not constant time) to verify authentication, which makes it easier to bypass authentication via a timing side channel.

🤖 Analiza AI
Jak działa

Funkcja memcmp przerywa porównywanie bajtów w momencie natrafienia na pierwszą różnicę, przez co czas jej wykonania zależy od liczby pasujących bajtów. Atakujący może mierzyć czas odpowiedzi serwera przy kolejnych próbach uwierzytelnienia, aby metodycznie odgadywać kolejne bajty poprawnego tokenu lub sygnatury JWT. Tego rodzaju atak statystyczny (timing side channel) pozwala na skuteczne obejście mechanizmu weryfikacji bez znajomości sekretu kryptograficznego.

Skutki

Atakujący może obejść weryfikację uwierzytelnienia opartą na JWT i uzyskać nieautoryzowany dostęp do zasobów chronionych przez bibliotekę, potencjalnie prowadząc do pełnego przejęcia kontroli nad aplikacją (naruszenie poufności, integralności i dostępności).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się zastąpienie funkcji memcmp implementacją porównywania w stałym czasie (constant-time comparison), np. dedykowanymi funkcjami kryptograficznymi odpornymi na ataki czasowe.

Kogo dotyczy

GlitchedPolygons l8w8jwt w wersji 2.2.1

Uwagi

Szczegóły techniczne podatności zostały opublikowane przez badacza P3ngu1nW w repozytorium GitHub. Podatność dotyczy kluczowego mechanizmu weryfikacji JWT, co czyni ją szczególnie istotną w aplikacjach używających tej biblioteki do kontroli dostępu.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Glitchedpolygons L8w8jwt

    APP
    Glitchedpolygons
    2.2.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje