websda.c in GoAhead WebServer 2.1.8 has insufficient nonce entropy because the nonce calculation relies on the hardcoded onceuponatimeinparadise value, which does not follow the secret-data guideline for HTTP Digest Access Authentication in RFC 7616 section 3.3 (or RFC 2617 section 3.2.1). NOTE: 2.1.8 is a version from 2003; however, the affected websda.c code appears in multiple derivative works that may be used in 2021. Recent GoAhead software is unaffected.
El archivo websda.c en GoAhead WebServer versión 2.1.8, presenta una entropía nonce insuficiente porque el cálculo del nonce es basado en el valor onceuponatimeinparadise codificado, que no sigue la directriz de datos secretos para la autenticación de acceso HTTP Digest en RFC 7616 sección 3.3 (o RFC 2617 sección 3.2.1). NOTA: 2.1.8 es una versión de 2003; sin embargo, el código websda.c afectado aparece en múltiples trabajos derivados que pueden usarse en 2021. El software GoAhead reciente no está afectado
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
| Attack Vector | NETWORK |
|---|---|
| Attack Complexity | LOW |
| Privileges Required | NONE |
| User Interaction | NONE |
| Scope | UNCHANGED |
| Confidentiality Impact | HIGH |
| Integrity Impact | HIGH |
| Availability Impact | HIGH |
| Source | Type | Description |
|---|---|---|
| [email protected] | Primary |
en
CWE-331
|
| Vendor | Product | Version | Update | Type |
|---|---|---|---|---|
| embedthis | goahead | 2.1.8 | <built-in method update of dict object at 0x72a9cd0c3e40> | Application |
| Vulnerable | CPE |
|---|---|
| Yes | cpe:2.3:a:embedthis:goahead:2.1.8:*:*:*:*:*:*:* |