PT-2022-24897 · Kirby · Kirby
Bastianallgeier
·
Publicado
2022-10-18
·
Atualizado
2023-07-14
·
CVE-2022-39315
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do Kirby anteriores à 3.5.8.2
Versões do Kirby anteriores à 3.6.6.2
Versões do Kirby anteriores à 3.7.5.1
Versões do Kirby anteriores à 3.8.1
Descrição
A vulnerabilidade afeta sites Kirby com contas de usuário, a menos que a API e o Painel estejam desativados na configuração. Ela permite que invasores confirmem quais usuários estão registrados em uma instalação do Kirby por meio da enumeração de usuários, o que pode ser usado para ataques de engenharia social ou para determinar a estrutura organizacional de uma empresa. A vulnerabilidade só pode ser explorada para ataques direcionados, pois não é escalável para ataques de força bruta devido ao atraso durante as primeiras 10 solicitações por usuário e à diferença mínima entre as respostas para usuários válidos e inválidos.
Recomendações
Para versões anteriores à 3.5.8.2, atualize para o Kirby 3.5.8.2 ou uma versão posterior.
Para versões anteriores à 3.6.6.2, atualize para o Kirby 3.6.6.2 ou uma versão posterior.
Para versões anteriores à 3.7.5.1, atualize para o Kirby 3.7.5.1 ou uma versão posterior.
Para versões anteriores à 3.8.1, atualize para o Kirby 3.8.1 ou uma versão posterior.
Como solução temporária, considere desativar a API e o Painel na configuração para evitar explorações.
Exploit
Correção
Generation of Error Message Containing Sensitive Information
Exposure of Resource to Wrong Sphere
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Kirby