Inflixim4Be

**Nome do software vulnerável e versões afetadas** Umanni RH versão 1.0 **Descrição** A vulnerabilidade permite que um usuário não autenticado lance um ataque de força bruta contra a página de login devido à ausência de limitação no número de tentativas de autenticação. **Recomendações** Para o Umanni RH versão 1.0, considere implementar um mecanismo para limitar o número de tentativas de autenticação, a fim de prevenir ataques de força bruta. Como solução temporária, restrinja o acesso à página de login para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Umanni RH versão 1.0 **Descrição** O problema está relacionado à enumeração de usuários durante a recuperação de senha. Ele permite que um invasor determine se um usuário é válido ou não com base nas diferenças nas mensagens, possibilitando potencialmente um ataque de força bruta com usuários válidos. **Recomendações** Para o Umanni RH versão 1.0, considere modificar o mecanismo de recuperação de senha para retornar mensagens genéricas para todas as tentativas, independentemente da validade do usuário, a fim de impedir a enumeração de usuários. Como solução alternativa temporária, restrinja o acesso ao recurso de recuperação de senha até que uma solução mais robusta seja implementada.

**Nome do software vulnerável e versões afetadas** Venki Supravizio BPM versão 10.1.2 **Descrição** A vulnerabilidade permite que um usuário não autenticado lance um ataque de força bruta contra a página de login devido à ausência de limitação no número de tentativas de autenticação. **Recomendações** Para o Venki Supravizio BPM versão 10.1.2, considere implementar um limite no número de tentativas de autenticação ou restringir temporariamente o acesso à página de login para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Venki Supravizio BPM versão 10.1.2 **Descrição** Foi identificada uma falha de enumeração de usuários no processo de recuperação de senha. Essa vulnerabilidade permite que um invasor determine se um `nome de usuário` é válido ou não, analisando as diferenças nas mensagens de erro, possibilitando um ataque de força bruta com nomes de usuário válidos. **Recomendações** Para o Venki Supravizio BPM versão 10.1.2, considere modificar o processo de recuperação de senha para retornar mensagens de erro genéricas, evitando a divulgação de nomes de usuário válidos. Como solução temporária, restrinja o acesso ao recurso de recuperação de senha para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.