Vulnerability Details CVE-2020-14423
Convos before 4.20 does not properly generate a random secret in Core/Settings.pm and Util.pm. This leads to a predictable CONVOS_LOCAL_SECRET value, affecting password resets and invitations.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.003
EPSS Ranking 52.7%
CVSS Severity
CVSS v3 Score 5.3
CVSS v2 Score 5.0
References
- https://convos.chat/blog/2020/6/18/local-secret-got-more-secure
- https://github.com/Nordaaker/convos/commit/54d1763ac65c05aad27ad454b4e5a62ba8352d39
- https://github.com/Nordaaker/convos/compare/4.19...4.20
- https://convos.chat/blog/2020/6/18/local-secret-got-more-secure
- https://github.com/Nordaaker/convos/commit/54d1763ac65c05aad27ad454b4e5a62ba8352d39
- https://github.com/Nordaaker/convos/compare/4.19...4.20
Products affected by CVE-2020-14423
-
cpe:2.3:a:convos:convos:1.00
-
cpe:2.3:a:convos:convos:1.01
-
cpe:2.3:a:convos:convos:1.02
-
cpe:2.3:a:convos:convos:2.00
-
cpe:2.3:a:convos:convos:3.00
-
cpe:2.3:a:convos:convos:3.01
-
cpe:2.3:a:convos:convos:3.02
-
cpe:2.3:a:convos:convos:3.03
-
cpe:2.3:a:convos:convos:3.04
-
cpe:2.3:a:convos:convos:3.05
-
cpe:2.3:a:convos:convos:3.06
-
cpe:2.3:a:convos:convos:3.07
-
cpe:2.3:a:convos:convos:3.08
-
cpe:2.3:a:convos:convos:3.09
-
cpe:2.3:a:convos:convos:3.10
-
cpe:2.3:a:convos:convos:3.11
-
cpe:2.3:a:convos:convos:3.12
-
cpe:2.3:a:convos:convos:4.00
-
cpe:2.3:a:convos:convos:4.01
-
cpe:2.3:a:convos:convos:4.02
-
cpe:2.3:a:convos:convos:4.03
-
cpe:2.3:a:convos:convos:4.04
-
cpe:2.3:a:convos:convos:4.05
-
cpe:2.3:a:convos:convos:4.06
-
cpe:2.3:a:convos:convos:4.07
-
cpe:2.3:a:convos:convos:4.08
-
cpe:2.3:a:convos:convos:4.09
-
cpe:2.3:a:convos:convos:4.10
-
cpe:2.3:a:convos:convos:4.11
-
cpe:2.3:a:convos:convos:4.12
-
cpe:2.3:a:convos:convos:4.13
-
cpe:2.3:a:convos:convos:4.14
-
cpe:2.3:a:convos:convos:4.15
-
cpe:2.3:a:convos:convos:4.16
-
cpe:2.3:a:convos:convos:4.17
-
cpe:2.3:a:convos:convos:4.18
-
cpe:2.3:a:convos:convos:4.19