Project AI - это платформа, предназначенная для создания AI-агентов. До версии pre-beta в исходном коде присутствовал захардкоженный ключ A…
Project AI - это платформа, предназначенная для создания AI-агентов. До версии pre-beta в исходном коде присутствовал захардкоженный ключ API [1]. Эта проблема была исправлена в версии pre-beta. Захардкоженный ключ API был случайно зафиксирован в репозитории, что сделало его общедоступным. Это могло быть использовано злоумышленниками для доступа к внешним сервисам от имени проекта или владельца аккаунта. Ключ API находился в исходном коде в виде строкового литерала, что представляет собой уязвимость в безопасности, особенно если ключ принадлежит стороннему сервису с ограничениями на количество запросов, оплатой за использование или доступом к конфиденциальным операциям. Злоумышленники могли использовать ключ для взаимодействия с внешними сервисами без разрешения, что могло привести к дополнительным затратам или превышению лимитов. В версии pre-beta ключ API был удален из исходного кода и заменен на заполнитель "add api here", чтобы обеспечить безопасное использование. Разработчикам рекомендуется использовать переменные окружения или системы безопасного управления секретами. Источники: - [1] https://github.com/aryan6673/project-ai/security/advisories/GHSA-8486-vrcp-69rv - [2] https://github.com/aryan6673/project-ai/commit/142252c43f1dacb3fed99e3336f5cd863b028bc2 - [3] https://github.com/aryan6673/project-ai/commit/1de910f353eb2a68c980149b906e7495459296ad - [4] https://github.com/aryan6673/project-ai/commit/54a69c3ccd301d35f3d54f4844d9910e609beb73 - [5] https://github.com/aryan6673/project-ai/commit/7f3b93f9aa9085d5413b4019172b0e56676346d7
Продукт содержит жёстко запрограммированные учётные данные, такие как пароль или криптографический ключ.
https://cwe.mitre.org/data/definitions/798.html →Открыть в коллекции CWE →Злоумышленник может пробовать определённые распространённые или стандартные имена пользователей и пароли для получения доступа к системе и выполнения несанкционированных действий. Злоумышленник может применять интеллектуальный перебор с использованием пустых паролей, известных заводских учётных данных, а также словаря распространённых имён пользователей и паролей. Многие продукты поставляются с предустановленными стандартными (и, следовательно, общеизвестными) учётными данными, которые следует удалить перед вводом в производственную эксплуатацию. Забыть удалить эти стандартные учётные данные — распространённая ошибка. Кроме того, пользователи нередко выбирают очень простые (распространённые) пароли (например, «secret» или «password»), что существенно облегчает злоумышленнику задачу по сравнению с использованием полноценного перебора или даже словарной атаки.
https://capec.mitre.org/data/definitions/70.html →Открыть в коллекции CAPEC →Нет описания.
https://capec.mitre.org/data/definitions/191.html →Открыть в коллекции CAPEC →