Ooola

**Nome do software vulnerável e versões afetadas** b2-sdk-python versões 1.14.0 e anteriores **Descrição** A biblioteca b2-sdk-python contém uma vulnerabilidade de divulgação de chaves que pode ser explorada por invasores locais por meio de uma condição de corrida do tipo “time-of-check-time-of-use” (TOCTOU). Essa vulnerabilidade afeta usuários do formato SqliteAccountInfo, enquanto usuários do formato InMemoryAccountInfo estão seguros. O SqliteAccountInfo salva chaves de API e o mapeamento de nome para ID do bucket em um arquivo de banco de dados local, que inicialmente é legível por todos e posteriormente alterado para ser privado ao usuário. Se o diretório que contém o arquivo for legível por um invasor local, ele poderá explorar o breve período entre a criação do arquivo e a modificação de permissão para ler as informações confidenciais. **Recomendações** Para as versões 1.14.0 e anteriores do b2-sdk-python, atualize para o b2-sdk-python 1.14.1 ou posterior. Se um usuário local tiver aberto um identificador usando essa condição de corrida, remova os arquivos de banco de dados afetados e gere novamente todas as chaves do aplicativo.