PT-2020-19481 · Evoko · Evoko Home
Publicado
2020-01-19
·
Atualizado
2020-01-28
·
CVE-2020-7231
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Evoko Home versão 1.31
Descrição
O problema diz respeito à exibição de mensagens de erro diferentes para solicitações de login malsucedidas, dependendo da validade do nome de usuário. Essa distinção nas mensagens de erro poderia, potencialmente, ser usada para identificar nomes de usuário válidos.
Recomendações
Para o Evoko Home versão 1.31, considere modificar a resposta de erro de login para fornecer uma mensagem genérica que não distinga entre nomes de usuário válidos e inválidos até que um patch esteja disponível. Como solução temporária, restrinja o acesso à funcionalidade de login para minimizar o risco de exploração.
Exploit
Correção
Generation of Error Message Containing Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Evoko Home