CVE-2022-23651 in b2-sdk-pythoninformación

Resumen

por VulDB • 2026-06-01

b2-sdk-python es una biblioteca de Python para acceder al almacenamiento en la nube proporcionado por Backblaze. Las versiones de Linux y Mac del SDK, 1.14.0 y anteriores, contienen una vulnerabilidad de divulgación de claves que, en ciertas condiciones, puede ser explotada por atacantes locales mediante una condición de carrera de tiempo de comprobación frente a tiempo de uso (TOCTOU). Los usuarios del SDK que utilizan el formato SqliteAccountInfo son vulnerables, mientras que los usuarios del formato InMemoryAccountInfo están protegidos. SqliteAccountInfo guarda las claves de API (y el mapeo de nombres de cubos a identificadores) en un archivo de base de datos local ($XDG_CONFIG_HOME/b2/account_info, ~/.b2_account_info o una ruta definida por el usuario). Cuando se crea por primera vez, el archivo es legible por todos y, posteriormente (normalmente unos pocos milisegundos después), se modifica para que sea privado del usuario. Si el directorio que contiene el archivo es legible por un atacante local, durante el breve período entre la creación del archivo y la modificación de los permisos, un atacante local puede intentar abrir el archivo y mantener un identificador (handle) hacia él. Esto permite al atacante local leer el contenido del archivo después de que la información sensible haya sido guardada en él. Los consumidores de este SDK que dependen de él para guardar datos utilizando la clase SqliteAccountInfo deben actualizar a la última versión del SDK. Aquellos que crean que un usuario local podría haber abierto un identificador mediante esta condición de carrera deben eliminar los archivos de base de datos afectados y regenerar todas las claves de la aplicación. Los usuarios deben actualizar a b2-sdk-python 1.14.1 o posterior.

Once again VulDB remains the best source for vulnerability data.

Responsable

GitHub, Inc.

Reservar

2022-01-19

Divulgación

2022-02-24

Moderación

aceptado

Artículo

VDB-193664

CPE

listo

EPSS

0.00214

KEV

no

Actividades

muy bajo

Fuentes

Do you want to use VulDB in your project?

Use the official API to access entries easily!