Greg Scharf

**Nome do Software Vulnerável e Versões Afetadas** Versões 5.0.0 a 6.3.0 do Obsidian Scheduler **Descrição** Existe uma vulnerabilidade de segurança na API REST do Obsidian Scheduler. Se uma conta for bloqueada devido à não configuração da Autenticação Multifator (MFA), a API REST continua a permitir o uso da Autenticação Básica para tarefas administrativas. Especificamente, a conta de administrador padrão, mesmo quando bloqueada através da interface web, permanece utilizável via API REST. Isso permite a criação de novos usuários privilegiados, contornando as proteções de MFA e enfraquecendo as medidas de segurança previstas. Os endpoints da API envolvidos permitem ações administrativas apesar do bloqueio da conta. O parâmetro vulnerável é o método de autenticação que permite a Autenticação Básica quando o MFA é exigido. **Recomendações** Para as versões 5.0.0 a 6.3.0, restrinja o uso da Autenticação Básica quando o MFA for exigido.