xmlseclibs — это библиотека, написанная на PHP для работы с шифрованием и подписями XML. До версии 3.1.5 узлы XML, зашифрованные с помощью aes-128-gcm, aes-192-gcm или aes-256-gcm, не проходят проверку длины тега аутентификации. Злоумышленник может использовать это для подбора тега аутентификации, восстановления ключа GHASH и расшифровки зашифрованных узлов.
Это также позволяет подделывать произвольные зашифрованные тексты, не зная ключа шифрования. Эта уязвимость исправлена в версии 3.1.5.
Показать оригинальное описание (EN)
xmlseclibs is a library written in PHP for working with XML Encryption and Signatures. Prior to 3.1.5, XML nodes encrypted with either aes-128-gcm, aes-192-gcm, or aes-256-gcm lack validation of the authentication tag length. An attacker can use this to brute-force an authentication tag, recover the GHASH key, and decrypt the encrypted nodes. It also allows to forge arbitrary ciphertexts without knowing the encryption key. This vulnerability is fixed in 3.1.5.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Xmlseclibs_Project Xmlseclibs
cpe:2.3:a:xmlseclibs_project:xmlseclibs:*:*:*:*:*:*:*:*
|
— |
3.1.5
|