प्लेटफ़ॉर्म
php
घटक
freshrss
में ठीक किया गया
476.0.1
FreshRSS एक मुफ्त, स्व-होस्टेड RSS एग्रीगेटर है। 57e1a37 - 00f2f04 से, नॉनस की लंबाई 40 कैरेक्टर से बदलकर 64 कर दी गई। password_verify() को वर्तमान में एक निर्मित स्ट्रिंग (SHA-256 नॉनस + bcrypt हैश का एक भाग) के साथ बुलाया जा रहा है, न कि कच्चे उपयोगकर्ता पासवर्ड के साथ। bcrypt के 72-बाइट इनपुट ट्रंकेशन के कारण, यह कारण बनता है कि पासवर्ड सत्यापन तब भी सफल हो जाता है जब उपयोगकर्ता गलत पासवर्ड दर्ज करता है। यह भेद्यता 1.27.2-dev (476e57b) में ठीक हो गई है। यह समस्या केवल एज ब्रांच में मौजूद थी और कभी भी एक स्थिर रिलीज में नहीं थी।
एक्सप्लॉइट स्थिति
EPSS
0.05% (17% शतमक)
CISA SSVC
FreshRSS को 1.27.2-dev (कमिट 476e57b) या बाद के संस्करण में अपडेट करें। यह संस्करण bcrypt हैश के ट्रंकेशन के कारण होने वाले प्रमाणीकरण बाईपास भेद्यता को ठीक करता है। अपडेट करने पर, आप सुनिश्चित करते हैं कि पासवर्ड सत्यापन सही ढंग से किया जा रहा है और अनधिकृत पहुंच से बचा जा रहा है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।