Lukaszstu

**Nome do software vulnerável e versões afetadas** Pritunl versão 1.29.2145.25 **Descrição** A falha permite que invasores enumerem nomes de usuário VPN válidos por meio de uma série de tentativas de login em “/auth/session”. Inicialmente, o servidor retorna o erro 401. No entanto, se o nome de usuário for válido, após 20 tentativas de login, o servidor começa a responder com o erro 400. Nomes de usuário inválidos recebem o erro 401 indefinidamente. O fornecedor contestou que se trata de uma vulnerabilidade, argumentando que é um recurso intencional do design. **Recomendações** Para a versão 1.29.2145.25 do Pritunl, como solução temporária, considere restringir o acesso ao endpoint `/auth/session` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.