Plataforma
java
Componente
spring-security
Corrigido em
4.2.12.RELEASE
5.0.12.RELEASE
5.1.5.RELEASE
A vulnerabilidade CVE-2019-3795 afeta o Spring Security em versões 4.2.x anteriores a 4.2.12, 5.0.x anteriores a 5.0.12 e 5.1.x anteriores a 5.1.5. Esta falha reside na forma como o SecureRandomFactoryBean#setSeed é utilizado para configurar instâncias SecureRandom, permitindo que um atacante comprometa a geração de números aleatórios se a aplicação fornecer uma semente e disponibilizar o material aleatório resultante. A correção está disponível a partir da versão 5.1.4.RELEASE.
Um atacante pode explorar esta vulnerabilidade se a aplicação afetada utilizar o SecureRandomFactoryBean#setSeed para configurar o gerador de números aleatórios e se a semente fornecida for previsível ou controlável pelo atacante. Ao obter acesso ao material aleatório gerado, o atacante pode prever futuras sequências de números aleatórios, comprometendo a segurança de operações que dependem desses números, como geração de tokens de segurança, chaves de criptografia e outros dados sensíveis. A exploração bem-sucedida pode levar à quebra de autenticação, autorização e confidencialidade dos dados.
A vulnerabilidade foi divulgada em 9 de abril de 2019. Não há relatos públicos de exploração ativa em larga escala, mas a natureza da vulnerabilidade a torna um alvo potencial para ataques direcionados. A ausência de um KEV listing indica um risco considerado moderado. A existência de um proof-of-concept (POC) público aumenta a probabilidade de exploração futura.
Applications heavily reliant on Spring Security for authentication and authorization, particularly those that generate cryptographic keys or session IDs using SecureRandomFactoryBean and expose the resulting random data, are at increased risk. Systems using older, unpatched versions of Spring Security (≤5.1.4.RELEASE) are directly vulnerable.
• java / server:
# Check Spring Security version
java -jar your_application.jar | grep 'Spring Security' • java / supply-chain:
# Check for vulnerable dependencies in Maven project
mvn dependency:tree | grep 'spring-security' • generic web:
# Check for potential seed exposure in application logs
grep -i 'seed=' /var/log/your_application/*.logdisclosure
Status do Exploit
EPSS
0.55% (percentil 68%)
Vetor CVSS
A mitigação primária é atualizar o Spring Security para a versão 5.1.4.RELEASE ou superior. Se a atualização imediata não for possível, considere implementar workarounds, como garantir que a semente fornecida ao SecureRandomFactoryBean seja verdadeiramente aleatória e imprevisível, utilizando fontes de entropia seguras. Monitore logs de aplicação em busca de padrões de uso suspeitos do SecureRandomFactoryBean. Implementar regras de WAF que bloqueiem requisições com parâmetros suspeitos relacionados à geração de números aleatórios pode oferecer uma camada adicional de proteção.
Atualize a versão do Spring Security para a versão 4.2.12.RELEASE, 5.0.12.RELEASE ou 5.1.5.RELEASE, ou superior, conforme apropriado para seu projeto. Isso corrige a vulnerabilidade de aleatoriedade insegura ao usar SecureRandom.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2019-3795 is a vulnerability in Spring Security affecting versions ≤5.1.4.RELEASE where an attacker can predict random numbers if a seed is provided and the random material is exposed, potentially compromising security-sensitive operations.
You are affected if you are using Spring Security versions 4.2.x prior to 4.2.12, 5.0.x prior to 5.0.12, or 5.1.x prior to 5.1.5.
Upgrade to Spring Security version 5.1.4.RELEASE or later. Ensure seeds are truly random and avoid exposing random material.
There is no indication of active exploitation campaigns targeting this vulnerability at this time.
Refer to the Spring Security security advisory: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-3795
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.