CVE-2022-37146

Versões do PlexTrac anteriores à 1.28.0

A vulnerabilidade permite a enumeração de nomes de usuário por meio dos tempos de resposta HTTP em tentativas de login inválidas para usuários configurados para usar o provedor de autenticação PlexTrac. Um invasor remoto não autenticado pode enumerar usuários válidos medindo o tempo de resposta das tentativas de login, já que usuários válidos e desbloqueados levam significativamente mais tempo para serem processados do que usuários inválidos. No entanto, a política de bloqueio implementada na versão 1.17.0 impede a distinção entre contas de usuário válidas e bloqueadas e contas de usuário inexistentes.

Para versões anteriores à 1.28.0, atualize para a versão 1.28.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à funcionalidade de login para minimizar o risco de exploração.