Podsumowanie
| Parametr | Wartość |
|---|---|
| CVE ID | CVE-2020-37168 |
| Źródło alertu | GitHub Advisory - Krytyczna podatność |
| Rok publikacji CVE | 2020 |
| Data publikacji | 2026-05-13 |
| Producent | Ecommerce |
| Produkt | Systempay |
| CVSS Score | 9.8 (Krytyczny) |
| EPSS Score | Brak danych |
| CISA KEV | Nie |
| Ransomware | Nie potwierdzono |
Opis podatności
Źródło: NVD
Ecommerce Systempay 1.0 zawiera podatność słabej implementacji kryptograficznej, która umożliwia atakującym odgadnięcie metodą brute force 16-znakowego produkcyjnego klucza tajnego używanego do generowania podpisów płatności. Atakujący mogą wyodrębnić dane formularza płatności oraz podpisy z żądań POST kierowanych do punktu końcowego płatności, a następnie wykorzystać porównanie skrótów SHA1 do iteracyjnego testowania kandydatów na klucz aż do odkrycia prawidłowego klucza produkcyjnego. Umożliwia to fałszowanie ważnych podpisów płatności oraz manipulację kwotami transakcji.
Wymagane działania
Zastosuj poprawki lub środki zaradcze producenta najszybciej, jak będą dostępne.
Kogo dotyczy?
Podatność dotyczy produktu Systempay firmy Ecommerce. Sprawdź czy Twoja organizacja używa tego oprogramowania i czy wymaga aktualizacji.
Źródła
Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.
