Platform
java
Component
spring-security
Opgelost in
4.2.12.RELEASE
5.0.12.RELEASE
5.1.5.RELEASE
CVE-2019-3795 beschrijft een kwetsbaarheid met betrekking tot de random generator in Spring Security. Deze kwetsbaarheid ontstaat wanneer SecureRandomFactoryBean gebruikt wordt met een vooraf bepaalde seed, waardoor de gegenereerde random data voorspelbaar kan worden. Dit kan leiden tot compromittering van beveiligingsfuncties die afhankelijk zijn van random getallen, zoals sessie-ID's of wachtwoordzout. De kwetsbaarheid treft Spring Security versies 4.2.x lager dan 4.2.12, 5.0.x lager dan 5.0.12 en 5.1.x lager dan 5.1.5. Een upgrade naar versie 5.1.4.RELEASE of hoger is vereist om de kwetsbaarheid te verhelpen.
Een succesvolle exploitatie van CVE-2019-3795 kan leiden tot voorspelbare random getallen, wat ernstige gevolgen kan hebben voor de beveiliging van de applicatie. Denk hierbij aan het voorspellen van sessie-ID's, waardoor een aanvaller zich kan voordoen als een geautoriseerde gebruiker. Ook kan het misbruikt worden om wachtwoordzouten te voorspellen, waardoor wachtwoorden kunnen worden gekraakt. De impact is het grootst in omgevingen waar de random generator gebruikt wordt voor kritieke beveiligingsfuncties. Hoewel de CVSS score 'LOW' is, kan de impact in specifieke scenario's aanzienlijk zijn, vooral als de random data onvoldoende beschermd is tegen inspectie door een aanvaller.
CVE-2019-3795 werd publiekelijk bekendgemaakt op 9 april 2019. Er zijn geen bekende actieve campagnes of publieke exploits gemeld. De kwetsbaarheid is opgenomen in de CISA KEV catalogus. De lage CVSS score suggereert een relatief lage kans op exploitatie, maar de potentiële impact kan aanzienlijk zijn in specifieke scenario's. Het is belangrijk om de kwetsbaarheid serieus te nemen en de aanbevolen mitigatie te implementeren.
Applications heavily reliant on Spring Security for authentication and authorization, particularly those that generate cryptographic keys or session IDs using SecureRandomFactoryBean and expose the resulting random data, are at increased risk. Systems using older, unpatched versions of Spring Security (≤5.1.4.RELEASE) are directly vulnerable.
• java / server:
# Check Spring Security version
java -jar your_application.jar | grep 'Spring Security' • java / supply-chain:
# Check for vulnerable dependencies in Maven project
mvn dependency:tree | grep 'spring-security' • generic web:
# Check for potential seed exposure in application logs
grep -i 'seed=' /var/log/your_application/*.logdisclosure
Exploit Status
EPSS
0.55% (68% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2019-3795 is het upgraden van Spring Security naar versie 5.1.4.RELEASE of hoger. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het vermijden van het gebruik van SecureRandomFactoryBean met een vooraf bepaalde seed. In plaats daarvan kan een andere random generator gebruikt worden die niet vatbaar is voor deze kwetsbaarheid. Het is belangrijk om de configuratie van Spring Security zorgvuldig te controleren om te verzekeren dat de random generator correct is geconfigureerd en niet onbedoeld een voorspelbare seed gebruikt. Na de upgrade, controleer de logbestanden op ongebruikelijke random getal patronen om te bevestigen dat de kwetsbaarheid is verholpen.
Werk de versie van Spring Security bij naar versie 4.2.12.RELEASE, 5.0.12.RELEASE of 5.1.5.RELEASE, of hoger, afhankelijk van uw project. Dit corrigeert de onveilige willekeur kwetsbaarheid bij het gebruik van SecureRandom.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2019-3795 is a vulnerability in Spring Security affecting versions ≤5.1.4.RELEASE where an attacker can predict random numbers if a seed is provided and the random material is exposed, potentially compromising security-sensitive operations.
You are affected if you are using Spring Security versions 4.2.x prior to 4.2.12, 5.0.x prior to 5.0.12, or 5.1.x prior to 5.1.5.
Upgrade to Spring Security version 5.1.4.RELEASE or later. Ensure seeds are truly random and avoid exposing random material.
There is no indication of active exploitation campaigns targeting this vulnerability at this time.
Refer to the Spring Security security advisory: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-3795
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.