PT-2020-16687 · Anuko · Anuko Time Tracker
Publicado
2020-11-16
·
Atualizado
2020-11-30
·
CVE-2020-27422
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Anuko Time Tracker versão 1.19.23.5311
Descrição
O link de redefinição de senha enviado por e-mail ao usuário não expira após ser utilizado, permitindo que um invasor use o mesmo link para assumir o controle da conta.
Recomendações
Para o Anuko Time Tracker versão 1.19.23.5311, considere implementar um mecanismo para expirar o link de redefinição de senha após seu primeiro uso, a fim de impedir a invasão da conta. Como solução temporária, restrinja o acesso à funcionalidade de redefinição de senha até que uma correção adequada seja aplicada. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Insufficient Session Expiration
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Anuko Time Tracker