یک آسیبپذیری با شناسه CVE-2024-53865 و شدت 8.2 (بالا) کتابخانه zhmcclient پایتون در IBM Z HMC Web Services API کشف شده است. این آسیبپذیری به دلیل نحوه مدیریت نادرست بر اطلاعات حساس (رمزهای عبور) و ذخیره آن ها به صورت متن ساده (Clear Text) درلاگگذاری رخ میدهد. این نقص امنیتی زمانی رخ میدهد که zhmcclient.api یا zhmcclient.hmc فعال باشند و یک به روزرسانی در توابع امنیتی ایجاد شود. بر اساس بردار حمله این آسیبپذیری CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H بهرهبرداری از آن از طریق دسترسی محلی و با پیچیدگی کم قابل تکرار است (AV:L/AC:L)، این حمله نیاز به سطح دسترسی بالا و بدون تایید کاربر انجام میشود (PR:H/UI:N)، بهرهبرداری از آسیبپذیری مذکور بر سایر منابع امنیتی تأثیر میگذارد (S:C)، این آسیبپذیری سه ضلع امنیت را با شدت بالا تحت تاثیر قرار میدهد(C:H/I:H/A:H).
موارد افشا رمز عبور:
• boot-ftp-password(FTP)
• ssc-master-pw(SSC)
• zaware-master-pw(ZAWARE)
• HMC(password)
• bind-password(LDAP)
محصولات تحت تأثیر
این آسیبپذیری تمام نسخههای محصول zhmcclient از جمله نسخه 1.18.1 را تحت تاثیر قرار داده است.
توصیه امنیتی
به کاربران توصیه میشود نسخه های آسیبپذیر را به نسخه بالاتر از 1.18.1 ازتقاء دهند.
منابع خبر:
[1]https://nvd.nist.gov/vuln/detail/CVE-2024-53865
[2]https://github.com/zhmcclient/python-zhmcclient/security/advisories/GHSA-p57h-3cmc-xpjq
- 65