CRITICAL🇬🇧 English

CVE-2020-37168

Słaba implementacja kryptograficzna w Ecommerce Systempay 1.0 — brute force klucza produkcyjnego

CVSS 9.3v4.0pub. 2026-05-13

Ecommerce Systempay 1.0 wykorzystuje słabą implementację kryptograficzną (SHA1) do ochrony 16-znakowego klucza produkcyjnego używanego do podpisywania płatności. Podatność umożliwia atakującemu odgadnięcie klucza metodą brute force, a następnie fałszowanie podpisów transakcji i manipulowanie kwotami płatności.

Pokaż oryginał (EN)

Ecommerce Systempay 1.0 contains a weak cryptographic implementation vulnerability that allows attackers to brute force the 16-character production secret key used for payment signature generation. Attackers can extract payment form data and signatures from POST requests to the payment endpoint, then use SHA1 hash comparison to iteratively test key candidates until discovering the correct production key, enabling them to forge valid payment signatures and manipulate transaction amounts.

🤖 Analiza AI
Jak działa

Atakujący przechwytuje dane formularza płatności oraz podpisy przesyłane metodą POST do endpointu płatniczego. Następnie, wykorzystując algorytm SHA1 do porównywania skrótów, iteracyjnie testuje kolejne kandydatury klucza aż do odnalezienia właściwego 16-znakowego klucza produkcyjnego. Krótka długość klucza w połączeniu ze słabym algorytmem SHA1 (CWE-328) sprawia, że atak brute force jest realnie wykonalny. Po uzyskaniu klucza atakujący może generować własne, w pełni poprawne podpisy płatności.

Skutki

Atakujący może sfałszować podpisy płatności i manipulować kwotami transakcji, co prowadzi do oszustw finansowych oraz umożliwia dokonywanie płatności z dowolnie zmienionymi wartościami bez wykrycia przez system weryfikacji.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się natychmiastową rotację klucza produkcyjnego, zwiększenie jego długości oraz migrację do silniejszego algorytmu kryptograficznego zamiast SHA1.

Kogo dotyczy

Ecommerce Systempay w wersji 1.0

Uwagi

Dla podatności dostępny jest publiczny exploit opublikowany w bazie Exploit-DB (exploit ID 48017), co istotnie podnosi ryzyko praktycznego wykorzystania.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje
CVE-2020-37168 — Słaba implementacja kryptograficzna w Ecommerce Systempay 1.0 — brute force klucza produkcyjnego — CRITICAL 9.3 | CVEbaza.pl