漏洞详情

CVE ID: CVE-2023-22963

漏洞库: personnummer/dart (Pub)

受影响版本: < 3.0.3

已修补版本: 3.0.3

描述

此漏洞于2020年6月报告给personnummer团队。响应缓慢是由于部分受影响软件包的所有权被锁定，导致在披露前更新软件包出现延迟。该漏洞被确定为低严重性。

影响 此漏洞影响那些依赖个人身份号码（personnummer）最后几位数字来确认其为真实号码的用户。

修复 所有代码库中的问题均已修复。请尽快更新至以下版本：

• C# 3.0.2
• D 3.0.1
• Dart 3.0.3
• Elixir 3.0.0
• Go 3.0.1
• Java 3.3.0
• JavaScript 3.1.0
• Kotlin 1.1.0
• Lua 3.0.1
• PHP 3.0.2
• Perl 3.0.0
• Python 3.0.2
• Ruby 3.0.1
• Rust 3.0.0
• Scala 3.0.1
• Swift 1.0.1

如果您正在使用任何较早的软件包，请更新到最新版本。

临时缓解措施 该问题源于正则表达式允许个人身份号最后四位数字中的前三位为“000”，而这是无效的。若无法升级，可以通过检查最后四位数字确保其不为“000x”来缓解此问题。

更多信息 如果您对此公告有任何疑问或意见：

• 请在 Personnummer Meta 中提交问题。
• 发送电子邮件至 Personnummer Email。

参考资料

• GHSA-4xh4-v2pq-jvhm
• https://pub.dev/packages/personnummer
• https://nvd.nist.gov/vuln/detail/CVE-2023-22963

漏洞信息

• 发布时间: 2020年9月4日
• 发布至 GitHub Advisory Database: 2022年9月19日
• 评审时间: 2022年9月19日
• 最后更新: 2023年1月11日
• 严重等级: 低
• 弱点类型: CWE-20 不当的输入验证