يکشنبه ۲ دی ۱۴۰۳ , 22 Dec 2024
جالب است ۰
یک آسیب‌پذیری در کتابخانه zhmcclient پایتون در IBM Z HMC Web Services API پیدا شده است که به دلیل نحوه مدیریت نادرست بر اطلاعات حساس (رمزهای عبور) و ذخیره آن‌ها به صورت متن ساده (Clear Text) درلاگ‌گذاری رخ می‌دهد.
منبع : github
یک آسیب‌پذیری در کتابخانه zhmcclient پایتون در IBM Z HMC Web Services API پیدا شده است که به دلیل نحوه مدیریت نادرست بر اطلاعات حساس (رمزهای عبور) و ذخیره آن‌ها به صورت متن ساده (Clear Text) درلاگ‌گذاری رخ می‌دهد.
 
به گزارش افتانا، یک آسیب‌پذیری با شناسه CVE-2024-53865 و شدت 8.2 (بالا) کتابخانه zhmcclient پایتون در IBM Z HMC Web Services API کشف شده است. این آسیب‌پذیری به دلیل نحوه مدیریت نادرست بر اطلاعات حساس (رمزهای عبور) و ذخیره آن‌ها به صورت متن ساده (Clear Text) درلاگ‌گذاری رخ می‌دهد.
 
این نقص امنیتی زمانی رخ می‌دهد که zhmcclient.api یا zhmcclient.hmc فعال باشند و یک به‌روزرسانی در توابع امنیتی ایجاد شود. بر اساس بردار حمله این آسیب‌پذیری CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H بهره‌برداری از آن از طریق دسترسی محلی  و با پیچیدگی کم قابل تکرار است (AV:L/AC:L)، این حمله نیاز به سطح دسترسی بالا و بدون تایید کاربر انجام می‌شود (PR:H/UI:N)، بهره‌برداری از آسیب‌پذیری مذکور بر سایر منابع امنیتی تأثیر می‌گذارد (S:C)، این آسیب‌پذیری سه ضلع امنیت را با شدت بالا تحت تاثیر قرار می‌دهد(C:H/I:H/A:H).
 
موارد افشا رمز عبور:
• (boot-ftp-password(FTP
• ssc-master-pw(SSC)
• (zaware-master-pw(ZAWARE
• (HMC(password
• bind-password(LDAP)
 
این آسیب‌پذیری تمام نسخه‌های محصول zhmcclient  از جمله نسخه 1.18.1 را تحت تاثیر قرار داده است و نسخه ‌های آسیب‌پذیر باید به نسخه بالاتر از 1.18.1 ارتقا یابند.
 
کد مطلب : 22586
https://aftana.ir/vdccepqi.2bqi48laa2.html
ارسال نظر
نام شما
آدرس ايميل شما
کد امنيتی