personnummer/dart vulnerable to Improper Input Validation · CVE-2023-22963 · GitHub Advisory Database
漏洞详情
包管理器: pub 包名: personnummer (Pub) 受影响版本: < 3.0.3 已修补版本: 3.0.3
描述
此漏洞于2020年6月报告给personnummer团队。响应缓慢是由于部分受影响软件包的所有权被锁定,导致在披露前更新软件包出现延迟。 该漏洞被确定为低严重性。
影响
此漏洞影响依赖个人身份号码最后几位数字来确认其为真实个人身份号码的用户。
修补程序
所有代码库中的问题均已修补。应尽快更新至以下版本:
- C# 3.0.2
- D 3.0.1
- Dart 3.0.3
- Elixir 3.0.0
- Go 3.0.1
- Java 3.3.0
- JavaScript 3.1.0
- Kotlin 1.1.0
- Lua 3.0.1
- PHP 3.0.2
- Perl 3.0.0
- Python 3.0.2
- Ruby 3.0.1
- Rust 3.0.0
- Scala 3.0.1
- Swift 1.0.1
如果您正在使用任何早期版本的软件包,请更新至最新版本。
临时解决方案
该问题源于正则表达式允许个人身份号码最后四位数字中的前三位为000,这是无效的。若无法升级,可以通过检查最后四位数字来确保其不是000x,以此缓解问题。
更多信息
如果您对此公告有任何疑问或意见:
- 在 Personnummer Meta 中提出问题
- 通过 Personnummer 电子邮件联系我们
参考
- GHSA-4xh4-v2pq-jvhm
- pub.dev/packages/pe…
- nvd.nist.gov/vuln/detail…
元数据
- 发布者: Johannestegner
- 发布至: personnummer/dart
- 发布时间: 2020年9月4日
- 发布至GitHub咨询数据库时间: 2022年9月19日
- 审核时间: 2022年9月19日
- 最后更新时间: 2023年1月11日
严重性
低
EPSS评分: 0.126% (第33百分位)
此分数估计了该漏洞在未来30天内被利用的概率。数据由FIRST提供。
弱点
弱点: CWE-20
不当输入验证: 产品接收输入或数据,但未验证或错误地验证输入是否具备安全正确处理数据所需的属性。在MITRE上了解更多信息。
CVE ID: CVE-2023-22963 GHSA ID: GHSA-4xh4-v2pq-jvhm 源代码: personnummer/dart
此公告已被编辑。请查看历史记录。 glyoVzOLZA9nMhz/bDHDAWzfRfZ0dSZtQUalpUyOmxd05ca2m+3y82V7oPr4aFkQ6iP3AkVm+ldcQBykVringg==
