PT-2021-13778 · Tcexam · Tcexam
Derrie Sutton
·
Publicado
2021-07-29
·
Atualizado
2021-08-02
·
CVE-2021-20113
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
**Nome do software vulnerável e versões afetadas:
Versões do TCExam <= 14.8.1
Descrição:
Existe um problema de exposição de informações confidenciais. Se for feita uma solicitação de redefinição de senha para um endereço de e-mail não registrado em nome de um usuário, aparece um erro de “e-mail desconhecido”. No entanto, se o e-mail estiver registrado em nome de um usuário, esse erro não ocorre. Um agente mal-intencionado poderia explorar essa vulnerabilidade para enumerar endereços de e-mail de usuários.
Recomendações:
Para as versões do TCExam <= 14.8.1, como solução temporária, considere modificar a funcionalidade de redefinição de senha para não revelar se um endereço de e-mail está registrado ou não, até que um patch esteja disponível.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Side Channel Attack
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Tcexam