PT-2021-10887 · Webid · Webid
Peng-Hui
·
Publicado
2021-01-27
·
Atualizado
2021-02-02
·
CVE-2020-23359
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
WeBid versão 1.2.2
Descrição
O problema decorre de uma comparação pouco rigorosa utilizada para verificar a identidade de duas senhas durante o registro no arquivo admin/newuser.php. Isso permite que duas senhas diferentes contornem a verificação.
Recomendações
Para a versão 1.2.2 do WeBid, considere modificar a função de comparação de senhas para usar uma comparação estrita, a fim de garantir que apenas senhas idênticas sejam aceitas durante o registro. Como solução temporária, considere implementar verificações de validação adicionais nas variáveis
password e confirm password para minimizar o risco de exploração.Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Webid