PT-2020-12513 · Sorcery · Sorcery
Futuretap
·
Publicado
2020-05-07
·
Atualizado
2020-05-13
·
CVE-2020-11052
CVSS v3.1
8.3
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L |
Nome do software vulnerável e versões afetadas
Versões do Sorcery anteriores à 0.15.0
Descrição
O problema está relacionado a uma vulnerabilidade de força bruta ao usar a autenticação por senha via Sorcery. O submódulo de proteção contra força bruta impede um ataque de força bruta durante o período de bloqueio definido, mas, uma vez expirado, a proteção não será reativada até que um usuário ou agente mal-intencionado faça login com sucesso. Isso não afeta usuários que não utilizam o submódulo de proteção contra força bruta integrado, nem usuários que utilizam o bloqueio permanente de conta.
Recomendações
Para versões do Sorcery anteriores à 0.15.0, atualize para a versão 0.15.0 para resolver o problema. Como solução alternativa temporária, considere aplicar um patch de emergência (monkey patch) no método
authenticate fornecido pelo Sorcery até que um patch oficial esteja disponível.Exploit
Correção
Improper Restriction of Excessive Authentication Attempts
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Sorcery