PT-2020-7373 · Pypi · Py-Bcrypt
Kurt Seifried
·
Publicado
2020-01-28
·
Atualizado
2021-10-12
·
CVE-2013-1895
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N |
**Nome do software vulnerável e versões afetadas:
Versões do py-bcrypt anteriores à 0.3
Descrição:
O problema decorre do tratamento inadequado do acesso simultâneo à memória no módulo py-bcrypt, permitindo que invasores contornem a autenticação. Isso é feito por meio de múltiplas solicitações de autenticação que provocam a sobrescrita do hash da senha.
Recomendações:
Para versões anteriores à 0.3, atualize para a versão 0.3 ou posterior para resolver o problema. Como solução temporária, considere implementar mecanismos de sincronização para impedir o acesso simultâneo ao hash da senha. Restrinja o acesso aos pontos de autenticação para minimizar o risco de exploração.
Correção
Improper Restriction of Excessive Authentication Attempts
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Py-Bcrypt