PT-2020-12392 · Oklok+1 · Oklok+1
Publicado
2020-05-04
·
Atualizado
2020-05-15
·
CVE-2020-10876
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
OKLOK versão 3.1.1
Cadeado Bluetooth com leitor de impressão digital FB50 versão 2.3
Descrição
O problema decorre da implementação incorreta do tempo limite para o código de verificação de quatro dígitos necessário para redefinir senhas e da falta de restrição adequada para tentativas excessivas de verificação. Isso permite que um invasor utilize um ataque de força bruta para descobrir o código de verificação de quatro dígitos, contorne a verificação por e-mail e altere a senha da conta da vítima.
Recomendações
Para a versão 3.1.1 do OKLOK, considere implementar um tempo limite adequado para o código de verificação de quatro dígitos e restringir tentativas excessivas de verificação para evitar ataques de força bruta.
Para a versão 2.3 do Cadeado Bluetooth com Leitor de Impressão Digital FB50, restrinja o acesso ao recurso de redefinição de senha até que uma correção adequada seja implementada para impedir alterações não autorizadas de senha.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Improper Restriction of Excessive Authentication Attempts
Insufficient Session Expiration
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Fingerprint Bluetooth Padlock Fb50
Oklok