کتابخانه Ruby One Time Password (ROTP) یک ابزار Open source میباشد که جهت ایجاد و بررسی رمزهای عبور یک بار مصرف مورد استفاده قرار میگیرد. در برخی از نسخههای این کتابخانه یک نقص امنیتی با شناسه CVE-2024-28862 و شدت متوسط(5.3) ردیابی شده است که به موجب نامناسب بودن مجوزهای پیشفرض، مهاجم با بهرهبرداری از این نقص امنیتی امکان خواندن و نوشتن در فایلهای با پسوند ".rb" را خواهد داشت.
بر اساس بردار حمله این آسیبپذیری (CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L) بهرهبرداری از آن از طریق شبکه محلی امکانپذیر است (AV:N) و نیازمند پیشزمینه نبوده و بهراحتی قابل تکرار است (AC:L)، برای انجام حمله، حساب کاربری با سطح دسترسی پایین نیاز است (PR: L) و به تعامل با کاربر نیاز ندارد (UI:N). بهرهبرداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر گذار نیست (S: U) و هر سه ضلع امنیت، با شدت پایین تاثیر قرار میگیرند.
محصولات تحت تأثیر
دو نسخه 6.2.1 و 6.2.2تحت تأثیر آسیبپذیری مذکور قرار دارند.
توصیههای امنیتی
جهت رفع این نقص امنیتی، به کاربران توصیه میشود کتابخانه Ruby One Time Password (ROTP) را به نسخه 6.3.0 بهروزرسانی کنند.
منبع خبر:
- 28