PT-2021-10886 · Unknown · Nibbleblog
Peng-Hui
·
Publicado
2021-01-27
·
Atualizado
2021-07-21
·
CVE-2020-23356
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
nibbleblog versão 3.7.1c
Descrição
A vulnerabilidade permite que o processo de login seja contornado devido a uma falha de manipulação de tipos nos hashes de senha. Isso ocorre porque o código utiliza
== em vez de === para comparar os hashes de senha, o que pode causar erros no tratamento de hashes que começam com ‘0e’ seguido de caracteres numéricos.Recomendações
Para a versão 3.7.1c do nibbleblog, considere atualizar o arquivo
login.class.php para usar === nas comparações de hashes de senha em vez de ==, a fim de prevenir ataques de tipo juggling. Como solução temporária, restrinja o acesso ao arquivo login.class.php para minimizar o risco de exploração.Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Nibbleblog