PT-2021-21926 · Unknown · Huntflow Enterprise
Andrey Lomtev
·
Publicado
2021-12-10
·
Atualizado
2021-12-14
·
CVE-2021-37934
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
**Nome do software vulnerável e versões afetadas:
Versões do Huntflow Enterprise anteriores à 3.10.14
Descrição:
O problema se deve à aplicação insuficiente do limite de tentativas de login no lado do servidor. Isso permite que um usuário remoto não autenticado realize múltiplas tentativas de login para adivinhar senhas por força bruta através do endpoint /account/login.
Recomendações:
Para versões anteriores à 3.10.14, atualize para a versão 3.10.14 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao endpoint /account/login para minimizar o risco de exploração.
Exploit
Correção
Improper Restriction of Excessive Authentication Attempts
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Huntflow Enterprise