یو زیانمنتیا (CVE-402-2024) په xml-crypto JavaScript کتابتون کې پیژندل شوی، چې په 32962 پروژو کې د انحصار په توګه کارول کیږي او هره اونۍ شاوخوا یو ملیون ځله د NPM کتلاګ څخه ډاونلوډ کیږي، کوم چې د اعظمي شدت کچه ټاکل شوې (10) له 10 څخه). کتابتون د XML سندونو د کوډ کولو او ډیجیټل لاسلیک تصدیق لپاره دندې چمتو کوي. زیان منونکي برید کونکي ته اجازه ورکوي چې جعلي سند تصدیق کړي ، کوم چې په ډیفالټ ترتیب کې به د کتابتون لخوا په بریالیتوب سره تایید شي ، سره له دې چې دا د لاسلیک تصدیق کولو لپاره ټاکل شوي د مختلف کیلي سره لاسلیک شوی. ستونزه د xml-crypto 4.0.0 نسخې سره پیل شوې او په خاموشۍ سره د جنوري په 6.0.0 ریلیز کې حل شوې.
زیانمنتیا د دې حقیقت له امله رامینځته کیږي چې په ډیفالټ ترتیب کې کتابتون د لاسلیک جوړونکي ته اجازه نه ورکوي ، مګر یوازې پخپله د لاسلیک درستیت ګوري. په ځانګړې توګه، کتابتون د KeyInfo XML عنصر کې په لاسلیک شوي سند کې ځای پر ځای شوي هر سند باور کوي، حتی که ترتیبات د ډیجیټل لاسلیکونو تصدیق کولو لپاره د ځانګړي سند کارول مشخص کړي. په دې توګه، د بدلون شوي سند په بریالیتوب سره تصدیق کولو لپاره، برید کونکی یوازې اړتیا لري چې اصلي ډیجیټل لاسلیک د هغه د شخصي کیلي لخوا رامینځته شوي لاسلیک سره ځای په ځای کړي او د KeyInfo عنصر کې د دې خصوصي کیلي سره تړلی سند (عامه کیلي) ځای په ځای کړي.
سرچینه: opennet.ru
