یک آسیبپذیری در کتابخانه zhmcclient پایتون در IBM Z HMC Web Services API پیدا شده است که به دلیل نحوه مدیریت نادرست بر اطلاعات حساس (رمزهای عبور) و ذخیره آنها به صورت متن ساده (Clear Text) درلاگگذاری رخ میدهد.
دریافت صفحه با کد QR
آسیبپذیری zhmcclient از مدیریت نادرست اطلاعات
github , 11 آذر 1403 ساعت 11:08
یک آسیبپذیری در کتابخانه zhmcclient پایتون در IBM Z HMC Web Services API پیدا شده است که به دلیل نحوه مدیریت نادرست بر اطلاعات حساس (رمزهای عبور) و ذخیره آنها به صورت متن ساده (Clear Text) درلاگگذاری رخ میدهد.
یک آسیبپذیری در کتابخانه zhmcclient پایتون در IBM Z HMC Web Services API پیدا شده است که به دلیل نحوه مدیریت نادرست بر اطلاعات حساس (رمزهای عبور) و ذخیره آنها به صورت متن ساده (Clear Text) درلاگگذاری رخ میدهد.
به گزارش افتانا، یک آسیبپذیری با شناسه CVE-2024-53865 و شدت 8.2 (بالا) کتابخانه zhmcclient پایتون در IBM Z HMC Web Services API کشف شده است. این آسیبپذیری به دلیل نحوه مدیریت نادرست بر اطلاعات حساس (رمزهای عبور) و ذخیره آنها به صورت متن ساده (Clear Text) درلاگگذاری رخ میدهد.
این نقص امنیتی زمانی رخ میدهد که zhmcclient.api یا zhmcclient.hmc فعال باشند و یک بهروزرسانی در توابع امنیتی ایجاد شود. بر اساس بردار حمله این آسیبپذیری CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H بهرهبرداری از آن از طریق دسترسی محلی و با پیچیدگی کم قابل تکرار است (AV:L/AC:L)، این حمله نیاز به سطح دسترسی بالا و بدون تایید کاربر انجام میشود (PR:H/UI:N)، بهرهبرداری از آسیبپذیری مذکور بر سایر منابع امنیتی تأثیر میگذارد (S:C)، این آسیبپذیری سه ضلع امنیت را با شدت بالا تحت تاثیر قرار میدهد(C:H/I:H/A:H).
موارد افشا رمز عبور:
• (boot-ftp-password(FTP
• ssc-master-pw(SSC)
• (zaware-master-pw(ZAWARE
• (HMC(password
• bind-password(LDAP)
این آسیبپذیری تمام نسخههای محصول zhmcclient از جمله نسخه 1.18.1 را تحت تاثیر قرار داده است و نسخه های آسیبپذیر باید به نسخه بالاتر از 1.18.1 ارتقا یابند.
کد مطلب: 22586