PT-2022-20394 · Unknown · B2Evolution
Msc-Secura
·
Publicado
2022-09-28
·
Atualizado
2022-09-30
·
CVE-2022-30935
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do b2evolution anteriores à 7.2.3
Descrição
Uma falha de autorização no b2evolution permite que invasores remotos e não autenticados prevejam tokens de redefinição de senha para qualquer usuário, devido ao uso de uma função de aleatoriedade defeituosa. Isso permite que o invasor obtenha sessões válidas para usuários arbitrários e, opcionalmente, redefina suas senhas.
Recomendações
Para versões anteriores à 7.2.3, atualize para uma versão que inclua uma correção para a função de aleatoriedade defeituosa usada nos tokens de redefinição de senha.
Como solução temporária, considere restringir o acesso à funcionalidade de redefinição de senha até que um patch esteja disponível.
Correção
Use of Insufficiently Random Values
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
B2Evolution