PT-2024-19267 · Unknown · Case-Utils+1
Ajnelson-Nist
·
Publicado
2024-01-11
·
Atualizado
2024-01-19
·
CVE-2024-22194
CVSS v3.1
2.8
Baixa
| Vetor | AV:L/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
cdo-local-uuid versão 0.4.0
case-utils versões 0.5.0 a 0.14.0
Descrição
Existe uma vulnerabilidade de vazamento de informações no software afetado. A vulnerabilidade decorre de uma função Python,
cdo local uuid.local uuid(), e de sua implementação original case utils.local uuid(). Essa função gera UUIDv5s utilizando um fluxo de números pseudoaleatórios determinísticos. Sob certas condições, o diretório de trabalho atual do usuário, como um caminho absoluto, foi incorporado aos dados de semente do fluxo de números pseudoaleatórios determinísticos de local uuid(), violando uma expectativa estabelecida na finalidade documentada da função local uuid() e vazando informações sobre o ambiente do usuário que a chamou.Recomendações
Para a versão 0.4.0 do cdo-local-uuid, atualize para a versão 0.5.0 ou posterior.
Para as versões 0.5.0 a 0.14.0 do case-utils, atualize para a versão 0.15.0 ou posterior.
Como solução temporária, considere mover o script que chama
cdo local uuid.local uuid() para fora do diretório de origem “Top” para resolver o problema.Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Case-Utils
Cdo-Local-Uuid