PT-2022-23159 · Sftpgo · Sftpgo
Drakkan
·
Publicado
2022-09-02
·
Atualizado
2024-08-21
·
CVE-2022-36071
CVSS v3.1
8.3
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L |
Nome do software vulnerável e versões afetadas
Versões 2.2.0 a 2.3.3 do SFTPGo
Descrição
O SFTPGo é um servidor SFTP configurável com suporte opcional a HTTP/S, FTP/S e WebDAV. Ele suporta o login usando TOTP (senhas de uso único baseadas em tempo) como fator de autenticação secundário e também suporta códigos de recuperação, que são um conjunto de códigos de uso único que podem ser utilizados em vez do TOTP. Um invasor que conheça a senha do usuário poderia potencialmente gerar alguns códigos de recuperação e, então, contornar a autenticação de dois fatores após ela ser ativada na conta posteriormente. Esse problema foi corrigido na versão 2.3.4, na qual os códigos de recuperação agora só podem ser gerados após a ativação da autenticação de dois fatores e são excluídos após a desativação.
Recomendações
Para as versões 2.2.0 a 2.3.3 do SFTPGo, atualize para a versão 2.3.4 para resolver o problema.
Como solução alternativa temporária, considere regenerar os códigos de recuperação após ativar a autenticação de dois fatores.
Exploit
Correção
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Sftpgo