یک آسیبپذیری با شناسه CVE-2024-32005 و شدت بالا (8.2) در محصول NiceGUI که یک فریمورک مبتنی بر پایتون میباشد کشف شدهاست. نقص امنیتی کشفشده گنجاندن فایل محلی میباشد که به صورت فنی در دسته آسیبپذیری پیمایش مسیر قرار میگیرد و هنگامی زمانی رخ میدهد که به فایلهای منبع در قسمت `/_nicegui/{__version__}/resources/{key}/{path:path}` درخواست زده شود. درنهایت هر فایلی که در پیشزمینه سیستم قرار دارد و وب سرور به آن دسترسی داشته باشد توسط مهاجمی که به وبسایت بروشور NiceUI دسترسی گرفتهباشد، قابل خواندن است. بر اساس بردار حمله این آسیبپذیری (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:L) بهرهبرداری از آن از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N) و نیازمند پیشزمینه نبوده و بهراحتی قابل تکرار است (AC:L)، برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N)، و به تعامل با کاربر نیاز ندارد(UI:N). بهرهبرداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر گذار نیست (S:U) و یک ضلع از سه ضلع امنیت با شدت زیاد تاثیر قرار میگیرد. (C:H/I:N/A:L)
محصولات تحت تأثیر
نسخههای قبل از 1.4.21 فریمورک NiceGUI تحتتاثیر نقص امنیتی مذکور قرار دارند.
توصیههای امنیتی
این آسیب پذیری در نسخه 1.4.21 فریمورک NiceGUI رفع شده است و به کاربران توصیه میشود در اسرع وقت نسبت به اعمال بهروزرسانی به نسخههای جدیدتر اقدام نمایند.
منبع خبر:
- 28