PT-2021-17318 · Wowonder · Wowonder
Publicado
2021-06-11
·
Atualizado
2022-07-12
·
CVE-2021-27200
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
**Nome do software vulnerável e versões afetadas:
WoWonder versão 3.0.4
Descrição:
A vulnerabilidade permite que invasores remotos assumam o controle de qualquer conta devido a um algoritmo criptográfico fraco no arquivo recover.php. O parâmetro
code pode ser facilmente previsto a partir da hora do dia.Recomendações:
Para o WoWonder versão 3.0.4, considere desativar a funcionalidade recover.php até que um patch esteja disponível para impedir a exploração. Restrinja o acesso ao módulo recover.php para minimizar o risco de apropriação de conta. Evite usar o parâmetro
code no endpoint recover.php afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
Use of Insufficiently Random Values
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wowonder