یک آسیبپذیری در کتابخانه zhmcclient پایتون در IBM Z HMC Web Services API پیدا شده است که به دلیل نحوه مدیریت نادرست بر اطلاعات حساس (رمزهای عبور) و ذخیره آنها به صورت متن ساده (Clear Text) درلاگگذاری رخ میدهد.
یک آسیبپذیری در کتابخانه zhmcclient پایتون در IBM Z HMC Web Services API پیدا شده است که به دلیل نحوه مدیریت نادرست بر اطلاعات حساس (رمزهای عبور) و ذخیره آنها به صورت متن ساده (Clear Text) درلاگگذاری رخ میدهد.
به گزارش افتانا، یک آسیبپذیری با شناسه CVE-2024-53865 و شدت 8.2 (بالا) کتابخانه zhmcclient پایتون در IBM Z HMC Web Services API کشف شده است. این آسیبپذیری به دلیل نحوه مدیریت نادرست بر اطلاعات حساس (رمزهای عبور) و ذخیره آنها به صورت متن ساده (Clear Text) درلاگگذاری رخ میدهد.
این نقص امنیتی زمانی رخ میدهد که zhmcclient.api یا zhmcclient.hmc فعال باشند و یک بهروزرسانی در توابع امنیتی ایجاد شود. بر اساس بردار حمله این آسیبپذیری CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H بهرهبرداری از آن از طریق دسترسی محلی و با پیچیدگی کم قابل تکرار است (AV:L/AC:L)، این حمله نیاز به سطح دسترسی بالا و بدون تایید کاربر انجام میشود (PR:H/UI:N)، بهرهبرداری از آسیبپذیری مذکور بر سایر منابع امنیتی تأثیر میگذارد (S:C)، این آسیبپذیری سه ضلع امنیت را با شدت بالا تحت تاثیر قرار میدهد(C:H/I:H/A:H).
این آسیبپذیری تمام نسخههای محصول zhmcclient از جمله نسخه 1.18.1 را تحت تاثیر قرار داده است و نسخه های آسیبپذیر باید به نسخه بالاتر از 1.18.1 ارتقا یابند.