PT-2020-5380 · Mk · Mk-Auth
Merhawi Solomon Gebrekidan
+1
·
Publicado
2020-06-29
·
Atualizado
2021-07-21
·
CVE-2020-14070
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
MK-AUTH versão 19.01
Descrição
O problema diz respeito a uma falha de autenticação na funcionalidade de login pela web. Isso se deve ao fato de as credenciais de acesso de administrador ao endpoint
admin/executar login.php serem fáceis de adivinhar. A vulnerabilidade está relacionada a erros no tratamento dos dados de registro, o que pode permitir que um invasor remoto eleve seus privilégios.Recomendações
Para a versão 19.01 do MK-AUTH, considere restringir o acesso ao endpoint
admin/executar login.php até que uma correção esteja disponível. Como solução temporária, revise e fortaleça as credenciais usadas para o acesso de administrador, a fim de impedir que credenciais fáceis de adivinhar sejam exploradas.Correção
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Mk-Auth