Informazioni sul CVE-2024-2032
Race Condition Vulnerability in zenml-io/zenml
CWE ID: CWE-366
Base Score (CVSS): N/A
CVE: CVE-2024-2032
Descrizione: Una vulnerabilità di condizione di concorrenza esiste in zenml-io/zenml versioni fino a e inclusi 0.55.3, che consente di creare più utenti con lo stesso username quando vengono inviati contemporaneamente richieste. Questo problema è stato corretto in versione 0.55.5. La vulnerabilità deriva da una gestione insufficiente delle richieste di creazione di utenti concorrenti, portando a incoerenze dei dati e potenziali problemi di autenticazione. In particolare, i processi concorrenti potrebbero sovrascrivere o corrompere i dati utente, complicando l’identificazione degli utenti e presentando rischi per la sicurezza. Questo problema è particolarmente preoccupante per le API che si basano sugli username come parametri di input, come ad esempio PUT /api/v1/users/test_race, dove potrebbe complicare ulteriormente.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://huntr.com/bounties/6199cd5d-611f-4ea9-96c5-52a952ba5a56
- https://github.com/zenml-io/zenml/commit/afcaf741ef9114c9b32f722f101b97de3d8d147b
Prodotti interessati
- zenml-io – zenml-io/zenml
Relazioni con altri prodotti
Produttore:zenml-io
Prodotto: zenml-io/zenml
Anno: 2024
CWE: CWE-366
CVSS: 0.0