PT-2020-15178 · Apache · Apache Jackrabbit Oak
Andrew Khoury
+1
·
Publicado
2020-01-28
·
Atualizado
2022-04-18
·
CVE-2020-1940
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Apache Jackrabbit Oak, versões 1.2.0 a 1.22.0
Descrição
O problema está relacionado aos recursos opcionais de alteração inicial de senha e expiração de senha. Esses recursos são propensos a um problema de divulgação de informações confidenciais. O código exige que a senha alterada seja passada como um atributo adicional para o objeto
credentials, mas não a remove durante o processamento na primeira fase da autenticação. Isso pode levar à divulgação da nova senha quando usada em combinação com mecanismos de autenticação adicionais e independentes.Recomendações
Para as versões 1.2.0 a 1.22.0 do Apache Jackrabbit Oak, considere desativar os recursos de alteração inicial de senha e expiração de senha como uma solução temporária até que um patch esteja disponível. Restrinja o acesso aos mecanismos de autenticação para minimizar o risco de exploração. Evite usar a senha alterada como um atributo no objeto
credentials até que o problema seja resolvido.Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apache Jackrabbit Oak