PT-2024-13804 · Wwbn · Avideo
Claudio Bozzato
·
Publicado
2024-01-10
·
Atualizado
2024-01-17
·
CVE-2023-49810
CVSS v3.1
7.3
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L |
Nome do software vulnerável e versões afetadas
WWBN AVideo dev master commit 15fed957fb
Descrição
Existe uma falha na funcionalidade
checkLoginAttempts que permite contornar a restrição de tentativas de login. Isso pode ser desencadeado por uma solicitação HTTP especialmente criada, levando ao contorno do captcha. Um invasor pode explorar essa falha para realizar um ataque de força bruta contra as credenciais do usuário, enviando uma série de solicitações HTTP.Recomendações
Para o WWBN AVideo dev master commit 15fed957fb, como solução temporária, considere desativar a funcionalidade
checkLoginAttempts até que um patch esteja disponível. Restrinja o acesso à funcionalidade de login para minimizar o risco de exploração. Evite usar o recurso de login na versão afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
Improper Restriction of Excessive Authentication Attempts
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Avideo