PT-2020-16946 · Bitrix · Bitrix24 Bitrix Framework
Publicado
2020-12-02
·
Atualizado
2020-12-04
·
CVE-2020-28206
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Bitrix24 Bitrix Framework (gestão de sites 1c) versão 20.0
Descrição
Existe uma falha no formulário de login de administrador que permite a um usuário remoto enumerar os usuários do grupo de administradores. Isso também possibilita ataques de força bruta às senhas de usuários que não fazem parte do grupo de administradores.
Recomendações
Para a versão 20.0, considere restringir o acesso ao formulário de login de administrador para minimizar o risco de exploração. Como solução temporária, considere implementar medidas de autenticação adicionais, como limitação de taxa ou bloqueio de IP, para impedir ataques de força bruta.
Exploit
Correção
Improper Restriction of Excessive Authentication Attempts
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Bitrix24 Bitrix Framework