PT-2022-27204 · Snipe-It · Snipe-It
Charalampos Maraziaris
·
Publicado
2022-12-25
·
Atualizado
2022-12-30
·
CVE-2022-44381
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Snipe-IT versões 6.0.14 e anteriores
Descrição
A vulnerabilidade permite que invasores determinem se uma conta de usuário existe, devido a variações nas respostas a uma solicitação “/password/reset”. Isso pode ser explorado através da análise das diferentes respostas recebidas do sistema.
Recomendações
Para as versões 6.0.14 e anteriores do Snipe-IT, como solução temporária, considere restringir o acesso ao endpoint “/password/reset” até que uma correção esteja disponível. Além disso, monitore de perto a atividade das contas de usuário para detectar quaisquer tentativas potenciais de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Side Channel Attack
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Snipe-It