Pebblehosts

Nome do software vulnerável e versões afetadas: Versões do Pterodactyl anteriores à 1.11.8 Descrição: Quando um usuário desativa a autenticação de dois fatores através do Painel, é enviada uma solicitação `DELETE` com sua senha atual em um parâmetro de consulta. Embora os parâmetros de consulta sejam criptografados ao usar TLS, muitos servidores web registram esses parâmetros em texto simples, armazenando a senha do usuário em texto simples. Se um usuário mal-intencionado obtiver acesso a esses registros, ele poderá potencialmente se autenticar na conta de um usuário, desde que consiga descobrir o endereço de e-mail ou o nome de usuário da conta separadamente. Os usuários que já desativaram a autenticação de dois fatores (2FA) no Painel devem alterar suas senhas e considerar ativar a 2FA caso ela tenha sido deixada desativada. Recomendações: Para resolver o problema, atualize para a versão 1.11.8 ou aplique o patch manualmente. Como precaução, os usuários que já desativaram a autenticação de dois fatores devem alterar suas senhas e considerar ativar a autenticação de dois fatores. Os administradores do Painel devem considerar a exclusão de quaisquer registros de acesso que possam conter dados confidenciais.