PT-2022-24896 · Kirby · Kirby
Florian Merz
+1
·
Publicado
2022-10-18
·
Atualizado
2026-01-30
·
CVE-2022-39314
CVSS v3.1
4.8
Média
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do Kirby anteriores à 3.5.8.2
Versões do Kirby anteriores à 3.6.6.2
Versões do Kirby anteriores à 3.7.5.1
Versões do Kirby anteriores à 3.8.1
Descrição
A vulnerabilidade afeta o Kirby, um CMS de arquivo simples, devido à restrição inadequada de tentativas excessivas de autenticação, permitindo a enumeração de usuários. Isso ocorre ao usar o método de autenticação
code ou password-reset com a opção auth.methods ou quando a opção debug está habilitada em produção. Ao utilizar vários endereços IP e tentativas de login, um invasor pode identificar contas de usuário válidas, pois elas serão bloqueadas, enquanto contas inválidas não serão. A vulnerabilidade pode ser explorada para coletar informações para ataques de engenharia social ou para determinar a estrutura organizacional de uma empresa.Recomendações
Para versões anteriores à 3.5.8.2, atualize para a versão 3.5.8.2 ou posterior.
Para versões anteriores à 3.6.6.2, atualize para a versão 3.6.6.2 ou posterior.
Para versões anteriores à 3.7.5.1, atualize para a versão 3.7.5.1 ou posterior.
Para versões anteriores à 3.8.1, atualize para a versão 3.8.1 ou posterior.
Como solução alternativa temporária, considere definir a opção
auth.methods como password para desativar os formulários de login baseados em código e de redefinição de senha.Exploit
Correção
Improper Restriction of Excessive Authentication Attempts
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Kirby