LOW🇬🇧 English

CVE-2026-9370

CVSS 2.9v4.0pub. 2026-05-24upd. 2026-05-26

W bibliotece jasypt-spring-boot do wersji 3.0.5/4.0.4 odkryto podatność w funkcji getSecretKeySaltGenerator w pliku SimpleGCMConfig.java komponentu Password Hash Handler. Podatność pozwala na użycie one-way hash z przewidywalnym salt'em. Atak może być przeprowadzony zdalnie, wymaga wysokiego poziomu złożoności i jest trudny do eksploatacji, jednak exploit został już ujawniony publicznie.

Pokaż oryginał (EN)

A weakness has been identified in ulisesbocchio jasypt-spring-boot up to 3.0.5/4.0.4. Affected by this vulnerability is the function getSecretKeySaltGenerator of the file jasypt-spring-boot/src/main/java/com/ulisesbocchio/jasyptspringboot/encryptor/SimpleGCMConfig.java of the component Password Hash Handler. Executing a manipulation can lead to use of a one-way hash with a predictable salt. The attack can be launched remotely. The attack requires a high level of complexity. The exploitation appears to be difficult. The exploit has been made available to the public and could be used for attacks. The project was informed of the problem early through an issue report but has not responded yet.

CVSS Vector
CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N/E:P/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje