漏洞起因
设计错误
危险等级
中
影响系统
OWASP ESAPI 2.0.1
OWASP ESAPI 2.0GA
不受影响系统
危害
本地攻击者可以利用漏洞可绕过安全限制,执行未授权操作。
CVSSv2:
攻击所需条件
攻击者必须访问OWASP ESAPI。
漏洞信息
OWASP ESAPI工具包帮助防御与安全相关的设计与实现缺陷的开发人员的软件.当前支持J2EE,.Net,ASP,PHP,Python等语言的应用程序。
当以CBC模式使用ESAPI对称加密时,OWASP ESAPI无法正确检查真实性,允许本地攻击者利用漏洞绕过安全限制,通过设置MAC长度为0及MAC为空,攻击者可以利用该漏洞绕过MAC限制,针对系统进行填充oracle攻击,可获得敏感信息。
测试方法
安全建议
厂商解决方案
OWASP ESAPI 2.1.0已经修改该漏洞,建议用户下载更新:
http://owasp-esapi-java.googlecode.com/svn/trunk/documentation/esapi4java-core-2.1-release-notes.txt
漏洞提供者
Kevin W. Wall
评论关闭。