FreshRSS — это бесплатный агрегатор RSS с возможностью самостоятельного размещения. С 57e1a37 по 00f2f04 длина nonce была изменена с 40 символов на 64. В настоящее время пароль_verify() вызывается со сконструированной строкой (nonce SHA-256 + часть хеша bcrypt) вместо необработанного пароля пользователя.
Благодаря 72-байтовому усечению входных данных bcrypt проверка пароля проходит успешно, даже если пользователь вводит неправильный пароль. Эта уязвимость исправлена в версии 1.27.2-dev (476e57b). Проблема присутствовала только в периферийной ветке и никогда не присутствовала в стабильной версии.
Показать оригинальное описание (EN)
FreshRSS is a free, self-hostable RSS aggregator. From 57e1a37 - 00f2f04, the lengths of the nonce was changed from 40 chars to 64. password_verify() is currently being called with a constructed string (SHA-256 nonce + part of a bcrypt hash) instead of the raw user password. Due to bcrypt’s 72-byte input truncation, this causes password verification to succeed even when the user enters an incorrect password. This vulnerability is fixed in 1.27.2-dev (476e57b). The issue was only present in the edge branch and never in a stable release.
Характеристики атаки
Последствия
Строка CVSS v4.0