PT-2020-16440 · Damstra · Damstra Smart Asset
Publicado
2020-10-02
·
Atualizado
2020-10-06
·
CVE-2020-26526
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Damstra Smart Asset versão 2020.7
Descrição
Foi descoberta uma falha na página de login do software afetado, permitindo a enumeração de nomes de usuário válidos. O aplicativo envia respostas de servidor diferentes quando o nome de usuário é inválido em comparação com quando é válido, com as mensagens “Não foi possível encontrar um APIDomain” para nomes de usuário inválidos e “E-mail ou senha incorretos” para os válidos.
Recomendações
Para o Damstra Smart Asset versão 2020.7, considere modificar a página de login para retornar uma mensagem de erro genérica tanto para nomes de usuário válidos quanto inválidos, a fim de impedir a enumeração. Como solução alternativa temporária, restrinja o acesso à página de login para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Damstra Smart Asset