PT-2020-19879 · One Identity · One Identity Password Manager
Clément Cruchet
·
Publicado
2020-11-13
·
Atualizado
2021-07-21
·
CVE-2020-7962
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
One Identity Password Manager versão 5.8
Descrição
Foi detectada uma falha no One Identity Password Manager que permite que um invasor identifique respostas válidas para um usuário. Isso é possível porque o conteúdo da resposta HTTP retorna “WRONG ID” apenas quando a resposta está incorreta, permitindo que um invasor detecte uma resposta válida e a reutilize posteriormente para redefinir a senha com uma senha de sua escolha.
Recomendações
Para o One Identity Password Manager versão 5.8, considere restringir o acesso à funcionalidade de redefinição de senha até que um patch esteja disponível. Como solução alternativa temporária, modifique o conteúdo da resposta HTTP para não revelar se a resposta está correta ou não, impedindo que invasores enumerem respostas válidas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Side Channel Attack
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
One Identity Password Manager