یک آسیبپذیری با شناسه CVE-2024-53979 و شدت 8.2 (بالا) در ibm.ibm_zhmc " یک مجموعه متن باز مورد استفاده " IBM Z HMC کشف شده است. کلمات عبور و فایلهای حساس به عنوان ورودی فایل لاگ و همچنین خروجی ماژولهای مربوطه به صورت متن ساده (Clear Text) ذخیره میشوند. این اتفاق زمانی رخ میدهد که کاربر از پارامتر log_file استفاده کند و یا منبع به روزرسانی شود. بر اساس بردار حمله این آسیبپذیری CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H بهرهبرداری از آن از طریق دسترسی محل و با پیچیدگی کم قابل تکرار است (AV:L/AC:L)، این حمله نیاز به سطح دسترسی بالا و بدون تایید کاربر انجام میشود (PR:H/UI:N)، بهرهبرداری از آسیبپذیری مذکور بر سایر منابع امنیتی تأثیر میگذارد (S:C)، این آسیبپذیری سه ضلع امنیت را با شدت بالا تحت تاثیر قرار میدهد (C:H/I:H/A:H).
محصولات تحت تأثیر
نسخههای قبل از 1.9.3 تحت تاثیر این آسیبپذیری قرار گرفتهاند.
توصیه امنیتی
به کاربران توصیه میشود نسخه های آسیبپذیر را به نسخه 1.9.3 یا بالاتر ارتقاء دهند.
منابع خبر:
[1]https://nvd.nist.gov/vuln/detail/CVE-2024-53979
[2]https://github.com/zhmcclient/zhmc-ansible-modules/security/advisories/GHSA-mw6c-f428-jx4f
- 62