PT-2020-14405 · Venki · Venki Supravizio Bpm
Inflixim4Be
·
Publicado
2020-07-07
·
Atualizado
2021-07-21
·
CVE-2020-15392
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Venki Supravizio BPM versão 10.1.2
Descrição
Foi identificada uma falha de enumeração de usuários no processo de recuperação de senha. Essa vulnerabilidade permite que um invasor determine se um
nome de usuário é válido ou não, analisando as diferenças nas mensagens de erro, possibilitando um ataque de força bruta com nomes de usuário válidos.Recomendações
Para o Venki Supravizio BPM versão 10.1.2, considere modificar o processo de recuperação de senha para retornar mensagens de erro genéricas, evitando a divulgação de nomes de usuário válidos. Como solução temporária, restrinja o acesso ao recurso de recuperação de senha para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Side Channel Attack
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Venki Supravizio Bpm