Description
A vulnerability was identified in CRMEB up to 5.6.1. This affects an unknown function of the component JWT HMAC Secret Handler. Such manipulation of the argument secret with the input default leads to use of hard-coded cryptographic key . It is possible to launch the attack remotely. Attacks of this nature are highly complex. The exploitability is reported as difficult. The exploit is publicly available and might be used. The vendor was contacted early about this disclosure but did not respond in any way.
In CRMEB up to 5.6.1 ist eine Schwachstelle entdeckt worden. Dabei betrifft es einen unbekannter Codeteil der Komponente JWT HMAC Secret Handler. Mittels dem Manipulieren des Arguments secret mit der Eingabe default mit unbekannten Daten kann eine use of hard-coded cryptographic key -Schwachstelle ausgenutzt werden. Der Angriff kann über das Netzwerk passieren. Das Durchführen eines Angriffs ist mit einer relativ hohen Komplexität verbunden. Die Ausnutzung wird als schwierig beschrieben. Der Exploit wurde der Öffentlichkeit bekannt gemacht und könnte verwendet werden.
Problem types
Use of Hard-coded Cryptographic Key
Timeline
| 2025-10-04: | Advisory disclosed |
| 2025-10-04: | VulDB entry created |
| 2025-10-04: | VulDB entry last update |
Credits
BlackSpdier (VulDB User)
References
vuldb.com/?id.327171 (VDB-327171 | CRMEB JWT HMAC Secret hard-coded key)
vuldb.com/?ctiid.327171 (VDB-327171 | CTI Indicators (IOB, IOC, TTP, IOA))
vuldb.com/?submit.659843 (Submit #659843 | CRMeB v5.6.1 Use of hard-coded / weak cryptographic key (CWE-321 / CWE-798) —)
