Plataforma
java
Componente
spring-security
Corregido en
4.2.12.RELEASE
5.0.12.RELEASE
5.1.5.RELEASE
La vulnerabilidad CVE-2019-3795 afecta a Spring Security versiones 4.2.x anteriores a 4.2.12, 5.0.x anteriores a 5.0.12 y 5.1.x anteriores a 5.1.5. Esta vulnerabilidad se manifiesta como una debilidad en la generación de números aleatorios cuando se utiliza SecureRandomFactoryBean#setSeed para configurar una instancia de SecureRandom. Si una aplicación proporciona una semilla y hace que el material aleatorio resultante esté disponible para un atacante, este puede predecir la secuencia de números aleatorios.
Un atacante que explote esta vulnerabilidad podría predecir la secuencia de números aleatorios generados por Spring Security. Esto podría comprometer la seguridad de aplicaciones que dependen de estos números aleatorios para tareas como la generación de tokens de sesión, contraseñas o claves de cifrado. La capacidad de predecir estos valores podría permitir a un atacante eludir mecanismos de seguridad, obtener acceso no autorizado a datos sensibles o incluso tomar control de la aplicación. La severidad es baja, pero el impacto potencial en la confidencialidad y la integridad de los datos es significativo si la aleatoriedad es crítica para la seguridad de la aplicación.
Esta vulnerabilidad fue publicada el 9 de abril de 2019. No se ha reportado explotación activa en entornos de producción, pero la disponibilidad de la información técnica sobre la vulnerabilidad podría facilitar su explotación. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) al momento de esta redacción. La probabilidad de explotación se considera baja, pero no nula, debido a la naturaleza de la vulnerabilidad y la amplia adopción de Spring Security.
Applications heavily reliant on Spring Security for authentication and authorization, particularly those that generate cryptographic keys or session IDs using SecureRandomFactoryBean and expose the resulting random data, are at increased risk. Systems using older, unpatched versions of Spring Security (≤5.1.4.RELEASE) are directly vulnerable.
• java / server:
# Check Spring Security version
java -jar your_application.jar | grep 'Spring Security' • java / supply-chain:
# Check for vulnerable dependencies in Maven project
mvn dependency:tree | grep 'spring-security' • generic web:
# Check for potential seed exposure in application logs
grep -i 'seed=' /var/log/your_application/*.logdisclosure
Estado del Exploit
EPSS
0.55% (68% percentil)
Vector CVSS
La mitigación principal para CVE-2019-3795 es actualizar Spring Security a la versión 5.1.4.RELEASE o superior. Si la actualización no es inmediatamente posible, se recomienda evitar el uso de SecureRandomFactoryBean#setSeed para configurar instancias de SecureRandom. En su lugar, se puede utilizar la generación de números aleatorios predeterminada proporcionada por Spring Security. Monitorear los logs de la aplicación en busca de patrones inusuales relacionados con la generación de números aleatorios también puede ayudar a detectar posibles intentos de explotación. Después de la actualización, verificar la correcta generación de números aleatorios mediante pruebas de seguridad.
Actualice la versión de Spring Security a la versión 4.2.12.RELEASE, 5.0.12.RELEASE o 5.1.5.RELEASE, o superior, según corresponda a su proyecto. Esto corrige la vulnerabilidad de aleatoriedad insegura al usar SecureRandom.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2019-3795 is a vulnerability in Spring Security affecting versions ≤5.1.4.RELEASE where an attacker can predict random numbers if a seed is provided and the random material is exposed, potentially compromising security-sensitive operations.
You are affected if you are using Spring Security versions 4.2.x prior to 4.2.12, 5.0.x prior to 5.0.12, or 5.1.x prior to 5.1.5.
Upgrade to Spring Security version 5.1.4.RELEASE or later. Ensure seeds are truly random and avoid exposing random material.
There is no indication of active exploitation campaigns targeting this vulnerability at this time.
Refer to the Spring Security security advisory: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-3795
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.