pubnub Insufficient Entropy vulnerability · CVE-2023-26154 · GitHub Advisory Database
漏洞详情
Dependabot alerts: 0
受影响包及版本
| 包管理器 | 包名 | 受影响版本 | 已修复版本 |
|---|---|---|---|
| nuget | Pubnub | < 6.19.0 | 6.19.0 |
| maven | com.pubnub:pubnub | <= 4.6.5 | 无 |
| maven | com.pubnub:pubnub-kotlin | < 7.7.0 | 7.7.0 |
| gomod | github.com/pubnub/go | < 0.0.0-20231016150651-428517fef5b9 | 0.0.0-20231016150651-428517fef5b9 |
| gomod | github.com/pubnub/go/v5 | < 5.0.4-0.20231016150651-428517fef5b9 | 5.0.4-0.20231016150651-428517fef5b9 |
| gomod | github.com/pubnub/go/v6 | < 6.1.1-0.20231016150651-428517fef5b9 | 6.1.1-0.20231016150651-428517fef5b9 |
| gomod | github.com/pubnub/go/v7 | < 7.2.0 | 7.2.0 |
| swift | github.com/pubnub/swift | < 6.2.0 | 6.2.0 |
| npm | pubnub | < 7.4.0 | 7.4.0 |
| bundler | pubnub (RubyGems) | < 5.3.0 | 5.3.0 |
| cargo | pubnub (Rust) | < 0.4.0 | 0.4.0 |
| pub | pubnub (Pub) | < 4.3.0 | 4.3.0 |
| pip | pubnub (pip) | < 7.3.0 | 7.3.0 |
| composer | pubnub/pubnub (Composer) | < 6.1.0 | 6.1.0 |
漏洞描述
以下包版本存在熵不足漏洞:package pubnub 7.4.0之前版本;package com.pubnub:pubnub 的所有版本;package pubnub 6.19.0之前版本;package github.com/pubnub/go 的所有版本;package github.com/pubnub/go/v7 7.2.0之前版本;package pubnub 7.3.0之前版本;package pubnub/pubnub 6.1.0之前版本;package pubnub 5.3.0之前版本;package pubnub 0.4.0之前版本;package pubnub/c-core 4.5.0之前版本;package com.pubnub:pubnub-kotlin 7.7.0之前版本;package pubnub/swift 6.2.0之前版本;package pubnub 5.2.0之前版本;package pubnub 4.3.0之前版本。
该漏洞通过 getKey 函数存在,源于 AES-256-CBC 加密算法的低效实现。当应用十六进制编码和修剪时,所提供的加密函数安全性降低,导致密钥中一半的位在每个编码消息或文件中始终保持相同。
注意: 攻击者需要投入资源准备攻击并通过暴力破解加密才能利用此漏洞。
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2023-26154
- pubnub/javascript@fb6cd04
- https://gist.github.com/vargad/20237094fce7a0a28f0723d7ce395bb0
- https://security.snyk.io/vuln/SNYK-COCOAPODS-PUBNUB-6098384
- https://security.snyk.io/vuln/SNYK-DOTNET-PUBNUB-6098372
- https://security.snyk.io/vuln/SNYK-GOLANG-GITHUBCOMPUBNUBGO-6098373
- https://security.snyk.io/vuln/SNYK-GOLANG-GITHUBCOMPUBNUBGOV7-6098374
- https://security.snyk.io/vuln/SNYK-JAVA-COMPUBNUB-6098371
- https://security.snyk.io/vuln/SNYK-JAVA-COMPUBNUB-6098380
- https://security.snyk.io/vuln/SNYK-JS-PUBNUB-5840690
- https://security.snyk.io/vuln/SNYK-PHP-PUBNUBPUBNUB-6098376
- https://security.snyk.io/vuln/SNYK-PUB-PUBNUB-6098385
- https://security.snyk.io/vuln/SNYK-PYTHON-PUBNUB-6098375
- https://security.snyk.io/vuln/SNYK-RUBY-PUBNUB-6098377
- https://security.snyk.io/vuln/SNYK-RUST-PUBNUB-6098378
- https://security.snyk.io/vuln/SNYK-SWIFT-PUBNUBSWIFT-6098381
- https://security.snyk.io/vuln/SNYK-UNMANAGED-PUBNUBCCORE-6098379
- https://github.com/pubnub/javascript/blob/master/src/crypto/modules/web.js#L70
- GHSA-5844-q3fc-56rh
- https://github.com/rubysec/ruby-advisory-db/blob/master/gems/pubnub/CVE-2023-26154.yml
- pubnub/go@428517f
时间线
- 国家漏洞数据库发布: 2023年12月6日
- GitHub咨询数据库发布: 2023年12月6日
- 审核时间: 2023年12月6日
- 最后更新: 2025年7月22日
严重程度
中等严重程度
CVSS 总体评分: 5.9/10
CVSS v3 基础指标
- 攻击向量: 网络
- 攻击复杂度: 高
- 所需权限: 无
- 用户交互: 无
- 作用范围: 未改变
- 机密性影响: 高
- 完整性影响: 无
- 可用性影响: 无
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
EPSS 评分
0.362% (第58百分位)
该评分估计此漏洞在未来30天内被利用的概率。数据由FIRST提供。
弱点
弱点: CWE-331 - 熵不足
产品使用的算法或方案产生不足的熵,留下比其他值更可能出现的模式或值集群。详见MITRE。
标识符
- CVE ID: CVE-2023-26154
- GHSA ID: GHSA-5844-q3fc-56rh
源代码
pubnub/javascript
此咨询已被编辑。详见历史记录。