PT-2021-8563 · Unknown · Sapphireims
Tanoy Bose
·
Publicado
2021-08-11
·
Atualizado
2021-08-12
·
CVE-2017-16629
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
SapphireIMS versão 4097 1
Descrição
O software está suscetível a tentativas de adivinhação de nome de usuário devido a mensagens de erro distintas para nomes de usuário incorretos e nomes de usuário corretos com senhas incorretas. No caso de um “Usuário incorreto”, é exibida a mensagem “O aplicativo não conseguiu identificar o usuário. Entre em contato com o administrador para obter ajuda.” Para um “Usuário correto e senha incorreta”, é exibida a mensagem “Falha na autenticação. Faça login novamente.”
Recomendações
Para o SapphireIMS versão 4097 1, considere modificar o formulário de login para fornecer mensagens de erro genéricas que não distingam entre nomes de usuário incorretos e nomes de usuário corretos com senhas incorretas, impedindo assim que invasores adivinhem nomes de usuário registrados.
Correção
Generation of Error Message Containing Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Sapphireims