CVE-2022-23651 in b2-sdk-pythonالمعلومات

الملخص

بحسب VulDB • 02/06/2026

b2-sdk-python هي مكتبة بايثون للوصول إلى خدمات التخزين السحابي المقدمة من Backblaze. تحتوي إصدارات Linux و Mac من حزمة تطوير البرمجيات (SDK) الإصدار 1.14.0 وما قبلها على ثغرة كشف المفاتيح، والتي يمكن استغلالها في ظروف معينة من قبل مهاجمين محليين عبر حالة سباق (Race Condition) من نوع "وقت الفحص-وقت الاستخدام" (TOCTOU). مستخدمو حزمة تطوير البرمجيات الذين يستخدمون تنسيق SqliteAccountInfo عرضة للثغرة، بينما يكون مستخدمو تنسيق InMemoryAccountInfo في أمان. يقوم SqliteAccountInfo بحفظ مفاتيح واجهة برمجة التطبيقات (API) (والتعيين بين اسم الدلو والمعرّف) في ملف قاعدة بيانات محلي ($XDG_CONFIG_HOME/b2/account_info، أو ~/.b2_account_info، أو مسار محدد من قبل المستخدم). عند إنشائه لأول مرة، يكون الملف قابلاً للقراءة من قبل الجميع، ويتم تعديله لاحقاً (عادةً بعد بضع مللي ثوانٍ) ليصبح خاصاً بالمستخدم فقط. إذا كان الدليل الذي يحتوي على الملف قابلاً للقراءة من قبل مهاجم محلي، فإنه خلال الفترة القصيرة بين إنشاء الملف وتعديل صلاحياته، يمكن للمهاجم المحلي استغلال حالة السباق لفتح الملف والحفاظ على مقبض (Handle) له. يتيح ذلك للمهاجم المحلي قراءة محتويات الملف بعد حفظ المعلومات الحساسة فيه. يجب على مستهلكي هذه الحزمة الذين يعتمدون عليها لحفظ البيانات باستخدام فئة SqliteAccountInfo الترقية إلى أحدث إصدار من الحزمة. أما أولئك الذين يعتقدون أن مستخدماً محلياً قد فتح مقبضاً باستخدام حالة السباق هذه، فيجب عليهم إزالة ملفات قاعدة البيانات المتأثرة وإعادة إنشاء جميع مفاتيح التطبيق. يجب على المستخدمين الترقية إلى الإصدار 1.14.1 من b2-sdk-python أو أحدث.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

مسؤول

GitHub, Inc.

حجز

19/01/2022

إفشاء

24/02/2022

الاعتدال

تمت الموافقة

إدخال

VDB-193664

EPSS

0.00214

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to stay up to date on a daily basis?

Enable the mail alert feature now!