一、 漏洞 CVE-2023-46739 基础信息
漏洞标题
时间攻击可以泄露用户密码
来源:AIGC 神龙大模型
漏洞描述信息
CubeFS 是一个开源的云原生文件存储系统。在 3.3.1 之前的版本中,发现了一个漏洞,该漏洞可能导致未授权的黑客通过进行时间攻击窃取用户密码。漏洞的根本原因是 CubeFS 使用 raw 字符串比较来验证密码。 CubeFS 的脆弱部分是主组件的 UserService。当启动主组件的服务器时,UserService 会实例化。该漏洞已经在 3.3.1 版本中修复。对于受到影响的用户,除了升级,没有其他途径可以缓解此问题。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
通过差异性导致的信息暴露
来源:AIGC 神龙大模型
漏洞标题
Timing attack can leak user passwords
来源:美国国家漏洞数据库 NVD
漏洞描述信息
CubeFS is an open-source cloud-native file storage system. A vulnerability was found during in the CubeFS master component in versions prior to 3.3.1 that could allow an untrusted attacker to steal user passwords by carrying out a timing attack. The root case of the vulnerability was that CubeFS used raw string comparison of passwords. The vulnerable part of CubeFS was the UserService of the master component. The UserService gets instantiated when starting the server of the master component. The issue has been patched in v3.3.1. For impacted users, there is no other way to mitigate the issue besides upgrading.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
通过差异性导致的信息暴露
来源:美国国家漏洞数据库 NVD
漏洞标题
CubeFS 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
CubeFS是CubeFS个人开发者的一种云原生文件存储。 CubeFS 3.3.1之前版本存在安全漏洞。攻击者利用该漏洞可以窃取用户密码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-46739 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2023-46739 的情报信息