漏洞关键信息 漏洞概述 漏洞标题: Account takeover via cryptographically weak PRNG in 发布日期: Aug 24, 2022 严重性: Critical CVE ID: CVE-2022-36045 漏洞类别: CWE-338 发布者: julianlam 影响的版本 受影响版本: 2.0.0, <=1.19.7 已修复版本: 1.19.8, 2.0.1 漏洞描述 简述: 函数在所有版本的 NodeBB 中使用了密码学上不安全的伪随机数生成器 ( ),攻击者可以通过专门编写的脚本和多次调用密码重置功能,计算出他们无权访问的账户的重置码。 影响: 此漏洞影响所有 NodeBB 安装,允许攻击者在受害者不知情的情况下接管任何账户。 修复方案 v2.x版本修复: e802fab v1.19.x版本修复: 81e3c1b 解决方式: 请立即升级 NodeBB 或将上述修复方案直接应用到代码库中。 工作区 该漏洞无已知的临时解决方法,但以上修复方案将完全解决此问题。 参考资料 CWE-338: Use of Cryptographically Weak Pseudo-Random Number Generator (PRNG) 进一步信息 请访问 NodeBB社区论坛 讨论此公告。 如有其他疑问或评论,请发送邮件至 support@nodebb.org。