一、 漏洞 CVE-2015-9238 基础信息
漏洞信息
                                        # N/A

## 漏洞概述
secure-compare 3.0.0及以下版本在比较两个字符串时存在漏洞。`compare`函数实际上在比较第一个参数与其自身,导致任何两个相同长度的字符串都会通过检查。

## 影响版本
- 3.0.0及以下版本

## 细节
`compare`函数没有正确比较两个输入字符串,而是比较了第一个参数和它自己。这导致即使两个不同的字符串有相同的长度,也会被认为相同。

## 影响
此漏洞可能导致安全验证失效,例如在密码验证场景中,任何两个相同长度的字符串都会被认为匹配,进而可能造成安全风险。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
secure-compare 3.0.0 and below do not actually compare two strings properly. compare was actually comparing the first argument with itself, meaning the check passed for any two strings of the same length.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
不充分的比较
来源:美国国家漏洞数据库 NVD
漏洞标题
secure-compare 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
secure-compare是一个用于防止Node.js中定时攻击的工具。 secure-compare 3.0.0及之前版本中存在安全漏洞,该漏洞源于程序没有正确的对比两个字符串。目前尚无此漏洞的相关信息,请随时关注CNNVD或厂商公告。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
格式化字符串错误
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2015-9238 的公开POC
# POC 描述 源链接 神龙链接
1 CVE-2015-9238: Insecure Comparison in secure-compare https://github.com/JamesDarf/wargame-secure_compare POC详情
2 CVE-2015-9238, Unicode bypass https://github.com/JamesDarf/wargame-turkey_in_2 POC详情
3 CVE-2015-9238, Unicode bypass https://github.com/m0d0ri205/wargame-turkey_in_2 POC详情
三、漏洞 CVE-2015-9238 的情报信息
四、漏洞 CVE-2015-9238 的评论

暂无评论

发表评论