jsrsasign 安全漏洞(CVE-2024-21484)

CVE编号

CVE-2024-21484

利用情况

暂无

补丁情况

N/A

披露时间

2024-01-22

漏洞描述

jsrsasign package是日本浦岛贤治个人开发者的一款开源的加密库。 jsrsasign 11.0.0之前版本存在安全漏洞，该漏洞源于RSA PKCS1.5或RSAOAEP解密过程中容易受到Observable Discrepancy影响，攻击者利用该漏洞可以解密密文。

解决建议

"将组件 jsrsasign 升级至 11.0.0 及以上版本"

参考链接
https://github.com/kjur/jsrsasign/issues/598
https://github.com/kjur/jsrsasign/releases/tag/11.0.0
https://security.snyk.io/vuln/SNYK-JAVA-ORGWEBJARSBOWER-6070734
https://security.snyk.io/vuln/SNYK-JAVA-ORGWEBJARSBOWERGITHUBKJUR-6070733
https://security.snyk.io/vuln/SNYK-JAVA-ORGWEBJARSNPM-6070732
https://security.snyk.io/vuln/SNYK-JS-JSRSASIGN-6070731

CVSS3评分 7.5

• 攻击路径 网络
• 攻击复杂度 高
• 权限要求 无
• 影响范围 已更改
• 用户交互 无
• 可用性 低
• 保密性 高
• 完整性 无

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:N/A:L

CWE-ID	漏洞类型

Exp相关链接

- avd.aliyun.com