PT-2022-23851 · Unknown · Bminusl Ihatetobudget
J-Gainsec
·
Publicado
2022-09-08
·
Atualizado
2023-08-08
·
CVE-2022-37163
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Bminusl IHateToBudget versão 1.5.7
Descrição
O problema está relacionado a uma política de senhas fraca, que permite que invasores possam obter acesso não autorizado ao aplicativo por meio de ataques de força bruta. Além disso, as senhas dos usuários são hashadas sem salt ou pepper, facilitando que ferramentas como o hashcat quebrem os hashes.
Recomendações
Para o Bminusl IHateToBudget versão 1.5.7, considere implementar uma política de senhas mais forte e fazer o hash das senhas dos usuários com salt ou pepper para impedir o acesso não autorizado. Como solução temporária, restrinja o acesso a áreas confidenciais do aplicativo para minimizar o risco de exploração.
Correção
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Bminusl Ihatetobudget