用于敏感数据的不安全随机字符串生成器 (CVE-2023-46740)

admin 2024-01-04 23:13:04 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
用于敏感数据的不安全随机字符串生成器 (CVE-2023-46740)

CVE编号

CVE-2023-46740

利用情况

暂无

补丁情况

N/A

披露时间

2024-01-04
漏洞描述
CubeFS是一个开源的云原生文件存储系统。在版本3.3.1之前,CubeFS使用了一个不安全的随机字符串生成器来生成用户特定的敏感密钥,用于在CubeFS部署中对用户进行身份认证。这可能允许攻击者预测和/或猜测生成的字符串,并冒充用户以获得更高的权限。当CubeFS创建新用户时,它会为该用户创建一个名为“accessKey”的敏感信息。为了创建“accessKey”,CubeFS使用了不安全的字符串生成器,这使得猜测和冒充创建的用户变得容易。攻击者可以利用可预测的随机字符串生成器猜测用户的访问密钥,并冒充用户以获得更高的权限。该问题已在v3.3.1中修复。除了升级外,没有其他解决方法。
解决建议
"将 github.com/cubefs/cubefs 升级至 3.3.1 及以上版本"
参考链接
https://github.com/cubefs/cubefs/commit/8555c6402794cabdf2cc025c8bea1576122c07ba
https://github.com/cubefs/cubefs/security/advisories/GHSA-4248-p65p-hcrm
CVSS3评分 6.5
  • 攻击路径 网络
  • 攻击复杂度 高
  • 权限要求 无
  • 影响范围 已更改
  • 用户交互 无
  • 可用性 低
  • 保密性 低
  • 完整性 低
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:L/A:L
CWE-ID 漏洞类型
CWE-330 使用不充分的随机数
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-9120利用情况 暂无补丁情况 N/A披露时间 2024-09-23漏洞描述Use after free in Dawn
评论:0   参与:  0