Para - это сервер/фреймворк для объектной персистентности и извлечения в многопользовательской среде. Уязвимость, существующая в версиях до…
Para - это сервер/фреймворк для объектной персистентности и извлечения в многопользовательской среде. Уязвимость, существующая в версиях до 1.50.8, раскрывает как ключ доступа, так и секретные ключи в журналах без редактирования [1]. Эти ключи позже используются в присваивании переменных для персистентности, но не требуют ведения журнала для отладки или проверки работоспособности системы. Версия 1.50.8 устраняет эту проблему. Источники: - [1] https://github.com/Erudika/para/security/advisories/GHSA-v75g-77vf-6jjq - [2] https://github.com/Erudika/para/commit/1e8a89558542854bb0683ab234c4429ad93b0835
Продукт записывает конфиденциальные сведения в файл журнала.
https://cwe.mitre.org/data/definitions/532.html →Открыть в коллекции CWE →Злоумышленник направляет случайные, некорректные или иным образом неожиданные сообщения целевому приложению и наблюдает за возвращаемыми журналами или сообщениями об ошибках приложения. Злоумышленник изначально не знает, как цель реагирует на отдельные сообщения, однако, перебирая большое количество вариантов сообщений, он может найти вариант, вызывающий желаемое поведение. В данной атаке целью фаззинга является наблюдение за журналом и сообщениями об ошибках приложения, хотя фаззинг цели иногда также может приводить к переходу цели в нестабильное состояние и её аварийному завершению.
https://capec.mitre.org/data/definitions/215.html →Открыть в коллекции CAPEC →