CVE-2020-8929 – Ciphertext integrity weakness in Tink

https://notcve.org/view.php?id=CVE-2020-8929

A mis-handling of invalid unicode characters in the Java implementation of Tink versions prior to 1.5 allows an attacker to change the ID part of a ciphertext, which result in the creation of a second ciphertext that can decrypt to the same plaintext. This can be a problem with encrypting deterministic AEAD with a single key, and rely on a unique ciphertext-per-plaintext. Un manejo inapropiado de caracteres Unicode no válidos en la implementación de Java Tink versiones anteriores a 1.5, permite a un atacante cambiar la parte del ID de un texto cifrado, lo que resulta en la creación de un segundo texto cifrado que puede descifrarse en el mismo texto plano. Esto puede ser un problema con el cifrado AEAD determinista con una sola clave y depender de un único texto cifrado por texto plano • https://github.com/google/tink/commit/93d839a5865b9d950dffdc9d0bc99b71280a8899 https://github.com/google/tink/security/advisories/GHSA-g5vf-v6wf-7w2r • CWE-176: Improper Handling of Unicode Encoding •