PT-2021-11760 · Uti · Uti Mutual Fund Android Application
Tejas Nitin Pingulkar
·
Publicado
2021-12-23
·
Atualizado
2021-12-29
·
CVE-2020-35398
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
**Nome do software vulnerável e versões afetadas:
Aplicativo Android do fundo mútuo UTI, versões 5.4.18 e anteriores
Descrição:
Uma falha no aplicativo Android do fundo mútuo UTI permite que invasores realizem uma enumeração por força bruta de nomes de usuário, a partir da mensagem de erro retornada após a tentativa de uso de credenciais inválidas.
Recomendações:
Para as versões 5.4.18 e anteriores, considere implementar limitação de taxa ou bloqueio de IP para impedir ataques de força bruta e modifique a mensagem de erro para que ela não revele se o nome de usuário é válido ou não. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Side Channel Attack
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Uti Mutual Fund Android Application