Katalog CVE

CVE-2020-37168

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Systempay 1.0 zawiera słabą implementację kryptograficzną, która umożliwia atakującym przeprowadzenie ataku brute force na 16-znakowy klucz produkcyjny używany do generowania podpisów płatności. Atakujący mogą wydobywać dane formularza płatności oraz podpisy z żądań POST do punktu końcowego płatności, a następnie używać porównania haszy SHA1 do iteracyjnego testowania kandydatów na klucz, aż odkryją poprawny klucz produkcyjny.

Ocena ryzyka

Wykorzystanie tej podatności może prowadzić do fałszowania ważnych podpisów płatności oraz manipulacji kwotami transakcji, co stwarza poważne ryzyko finansowe dla organizacji.

Rekomendacja

Zaleca się aktualizację systemu do najnowszej wersji, która eliminuje tę słabość kryptograficzną oraz wdrożenie silniejszych mechanizmów zabezpieczeń dla kluczy produkcyjnych.

Oryginalny opis (angielski, źródło NVD)

Ecommerce Systempay 1.0 contains a weak cryptographic implementation vulnerability that allows attackers to brute force the 16-character production secret key used for payment signature generation. Attackers can extract payment form data and signatures from POST requests to the payment endpoint, then use SHA1 hash comparison to iteratively test key candidates until discovering the correct production key, enabling them to forge valid payment signatures and manipulate transaction amounts.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS