Description
A vulnerability has been found in youth-is-as-pale-as-poetry e-learning 1.0. Impacted is the function encryptSecret of the file e-learning-master\exam-api\src\main\java\com\yf\exam\ability\shiro\jwt\JwtUtils.java of the component JWT Token Handler. The manipulation leads to insufficiently random values. The attack can be initiated remotely. The complexity of an attack is rather high. The exploitability is considered difficult. The exploit has been disclosed to the public and may be used.
Eine Schwachstelle wurde in youth-is-as-pale-as-poetry e-learning 1.0 gefunden. Es betrifft die Funktion encryptSecret der Datei e-learning-master\exam-api\src\main\java\com\yf\exam\ability\shiro\jwt\JwtUtils.java der Komponente JWT Token Handler. Mittels Manipulieren mit unbekannten Daten kann eine insufficiently random values-Schwachstelle ausgenutzt werden. Der Angriff kann remote ausgeführt werden. Das Durchführen eines Angriffs ist mit einer relativ hohen Komplexität verbunden. Das Ausnutzen gilt als schwierig. Die Schwachstelle wurde öffentlich offengelegt und könnte ausgenutzt werden.
Problem types
Product status
Timeline
| 2025-09-18: | Advisory disclosed |
| 2025-09-18: | VulDB entry created |
| 2025-09-18: | VulDB entry last update |
Credits
chen_yun_n (VulDB User)
References
vuldb.com/?id.324792 (VDB-324792 | youth-is-as-pale-as-poetry e-learning JWT Token JwtUtils.java encryptSecret random values)
vuldb.com/?ctiid.324792 (VDB-324792 | CTI Indicators (IOB, IOC, TTP, IOA))
vuldb.com/?submit.653029 (Submit #653029 | https://gitee.com/youth-is-as-pale-as-poetry/e-learning ExamSystem V1.0 Authentication Bypass Issues)
github.com/SuJing-cy/CVE/blob/main/yfhl.md
