[TagAwareCipher] - Decryption Failure (Regex Match) (CVE-2024-28864)
CVE编号
CVE-2024-28864利用情况
暂无补丁情况
N/A披露时间
2024-03-19漏洞描述
SecureProps是一个旨在简化对象中属性数据加密和解密的PHP库。SecureProps版本1.2.0和1.2.1中的一个漏洞涉及正则表达式在解密加密数据时未能检测标记。当加密数据使用`NullEncoder`编码并传递给`TagAwareCipher`时,并且包含诸如` `之类的特殊字符时会发生这种情况。结果,解密过程会被跳过,因为未检测到标记。这导致加密数据以纯文本格式返回。该漏洞影响实现使用任何带有`NullEncoder`(非默认)的基础密码的用户`TagAwareCipher`。问题的修补程序已发布。建议用户升级到版本1.2.2。作为一种解决方法,可以使用默认的`Base64Encoder`与装饰有`TagAwareCipher`的基础密码,以防止加密字符串中的特殊字符干扰正则表达式标记检测逻辑。此解决方法是安全的,但可能涉及双重编码,因为`TagAwareCipher`默认使用`NullEncoder`。解决建议
"将组件 ilicmiljan/secure-props 升级至 1.2.2 及以上版本"- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论