PT-2020-12870 · Rukovoditel · Rukovoditel
Publicado
2020-04-27
·
Atualizado
2021-07-21
·
CVE-2020-11821
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Rukovoditel versão 2.5.2
Descrição
O problema diz respeito ao armazenamento de senhas e nomes de usuário em um cookie, que utiliza codificação de URL, codificação base64 e hash. Isso possibilita que um invasor realize ataques de força bruta contra esses dados.
Recomendações
Para o Rukovoditel versão 2.5.2, considere implementar medidas de segurança adicionais para proteger as credenciais dos usuários, como o uso de um protocolo seguro para a transmissão de cookies e a limitação do número de tentativas de login para evitar ataques de força bruta. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Rukovoditel