CVE-2022-23651 in b2-sdk-python
الملخص
بحسب VulDB • 02/06/2026
b2-sdk-python هي مكتبة بايثون للوصول إلى خدمات التخزين السحابي المقدمة من Backblaze. تحتوي إصدارات Linux و Mac من حزمة تطوير البرمجيات (SDK) الإصدار 1.14.0 وما قبلها على ثغرة كشف المفاتيح، والتي يمكن استغلالها في ظروف معينة من قبل مهاجمين محليين عبر حالة سباق (Race Condition) من نوع "وقت الفحص-وقت الاستخدام" (TOCTOU). مستخدمو حزمة تطوير البرمجيات الذين يستخدمون تنسيق SqliteAccountInfo عرضة للثغرة، بينما يكون مستخدمو تنسيق InMemoryAccountInfo في أمان. يقوم SqliteAccountInfo بحفظ مفاتيح واجهة برمجة التطبيقات (API) (والتعيين بين اسم الدلو والمعرّف) في ملف قاعدة بيانات محلي ($XDG_CONFIG_HOME/b2/account_info، أو ~/.b2_account_info، أو مسار محدد من قبل المستخدم). عند إنشائه لأول مرة، يكون الملف قابلاً للقراءة من قبل الجميع، ويتم تعديله لاحقاً (عادةً بعد بضع مللي ثوانٍ) ليصبح خاصاً بالمستخدم فقط. إذا كان الدليل الذي يحتوي على الملف قابلاً للقراءة من قبل مهاجم محلي، فإنه خلال الفترة القصيرة بين إنشاء الملف وتعديل صلاحياته، يمكن للمهاجم المحلي استغلال حالة السباق لفتح الملف والحفاظ على مقبض (Handle) له. يتيح ذلك للمهاجم المحلي قراءة محتويات الملف بعد حفظ المعلومات الحساسة فيه. يجب على مستهلكي هذه الحزمة الذين يعتمدون عليها لحفظ البيانات باستخدام فئة SqliteAccountInfo الترقية إلى أحدث إصدار من الحزمة. أما أولئك الذين يعتقدون أن مستخدماً محلياً قد فتح مقبضاً باستخدام حالة السباق هذه، فيجب عليهم إزالة ملفات قاعدة البيانات المتأثرة وإعادة إنشاء جميع مفاتيح التطبيق. يجب على المستخدمين الترقية إلى الإصدار 1.14.1 من b2-sdk-python أو أحدث.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.