关键漏洞信息 漏洞类型: Insufficient Entropy 受影响包: com.pubnub:pubnub-kotlin CVSS 分数: 5.9 (Medium) 漏洞引入日期: 2023-08-14 CVE 编号: CVE-2023-26154 CWE 编号: CWE-331 修复建议: 升级 com.pubnub:pubnub-kotlin 至版本 7.7.0 或更高版本 漏洞详情 概述: 由于 getKey 函数对 AES-256-CBC 加密算法的实现不佳,导致编码后的消息或文件的密钥有一半的位始终相同,从而降低了加密的安全性。 威胁情报: EPSS 评分为 0.36%,处于第 58 百分位。 参考 GitHub Commit GitHub Issue 易受攻击的代码 CVSS 基本评分 攻击向量 (AV): 网络 攻击复杂性 (AC): 高 权限要求 (PR): 无 用户交互 (UI): 无 范围 (S): 不变 保密性 (C): 高 完整性 (I): 无 可用性 (A): 无 其他信息 Snyk ID: SYNK-JAVA-COMPUBNUB-6098380 发布日期: 2023-12-05 披露日期: 2023-08-14 发现者: Varga Daniel