PT-2021-12849 · Squaredup · Squaredup
Publicado
2021-02-03
·
Atualizado
2022-02-22
·
CVE-2020-9389
CVSS v2.0
4.3
Média
| Vetor | AV:N/AC:M/Au:N/C:P/I:N/A:N |
**Nome do software vulnerável e versões afetadas:
Versões do SquaredUp anteriores à 4.6.0
Descrição:
Foi detectada uma falha de enumeração de nomes de usuário na funcionalidade de login, permitindo que um usuário mal-intencionado adivinhe nomes de usuário válidos devido às diferenças nos tempos de resposta em relação a nomes de usuário inválidos.
Recomendações:
Para versões anteriores à 4.6.0, atualize para a versão 4.6.0 ou posterior para resolver o problema. Como solução temporária, considere implementar limitação de taxa ou bloqueio de IP para minimizar o risco de exploração. Restrinja o acesso à funcionalidade de login a usuários e redes confiáveis até que a atualização seja aplicada.
Correção
Side Channel Attack
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Squaredup