CVE-2023-22963:personnummer/dart 存在不当输入验证漏洞
漏洞详情
包管理器: Pub
受影响的包: personnummer (Dart)
受影响版本: < 3.0.3
已修复版本: 3.0.3
描述
此漏洞于2020年6月报告给 personnummer 团队。响应迟缓是由于部分受影响软件包的所有权被锁定,导致在披露前更新软件包出现延迟。
该漏洞被判定为低严重性。
影响
此漏洞影响到那些依赖个人身份号码 (personnummer) 的最后几位数字来确认是否为真实号码的用户。
修复补丁
该问题已在所有代码仓库中得到修复。请尽快更新至以下版本:
- C# 3.0.2
- D 3.0.1
- Dart 3.0.3
- Elixir 3.0.0
- Go 3.0.1
- Java 3.3.0
- JavaScript 3.1.0
- Kotlin 1.1.0
- Lua 3.0.1
- PHP 3.0.2
- Perl 3.0.0
- Python 3.0.2
- Ruby 3.0.1
- Rust 3.0.0
- Scala 3.0.1
- Swift 1.0.1
如果您正在使用任何较早的软件包,请更新至最新版本。
临时解决方案
该问题的根源在于正则表达式允许个人身份号码最后四位数字中的前三位为 000,这是无效的。若无法立即升级,可以通过检查最后四位数字来确保其不是 000x,以此作为缓解措施。
更多信息
如果您对此公告有任何疑问或评论:
- 在
Personnummer Meta中提出议题。 - 通过电子邮件
Personnummer Email联系我们。
参考
- GHSA-4xh4-v2pq-jvhm
- https://pub.dev/packages/personnummer
- https://nvd.nist.gov/vuln/detail/CVE-2023-22963
发布日期: 2020年9月4日 发布至 GitHub Advisory Database: 2022年9月19日 最后更新: 2023年1月11日
严重等级: 低 EPSS 分数: 0.126% (第33百分位)
弱点: CWE-20 不当输入验证
CVE ID: CVE-2023-22963
GHSA ID: GHSA-4xh4-v2pq-jvhm
源代码: personnummer/dart