PT-2022-16931 · Unknown+1 · Django-Mfa3+1
Stefanw
·
Publicado
2022-04-15
·
Atualizado
2023-02-03
·
CVE-2022-24857
CVSS v4.0
8.5
Alta
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:P/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do django-mfa3 anteriores à 0.5.0
Descrição
O problema está relacionado a uma biblioteca que implementa a autenticação multifatorial para a estrutura web Django. Ela modifica a visualização de login padrão, mas não modifica a segunda visualização de login para a área administrativa, permitindo que a autenticação multifatorial seja contornada. Os usuários são afetados se tiverem ativado tanto a biblioteca quanto o django.contrib.admin sem tomar outras medidas para impedir o acesso à visualização de login administrativo.
Recomendações
Para versões do django-mfa3 anteriores à 0.5.0, atualize para a versão 0.5.0 para resolver o problema.
Como solução temporária, considere sobrescrever a rota de login de administração adicionando uma definição de URL antes das rotas de administração, como url(‘admin/login/’, lambda request: redirect(settings.LOGIN URL)).
Exploit
Correção
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Django
Django-Mfa3