PT-2024-13877 · Avideo · Avideo
Claudio Bozzato
·
Publicado
2024-01-10
·
Atualizado
2024-01-18
·
CVE-2023-50172
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
WWBN AVideo dev master commit 15fed957fb
Descrição
Existe uma falha que permite contornar a notificação de recuperação na funcionalidade de validação de captcha do arquivo userRecoverPass.php. Isso permite que uma solicitação HTTP especialmente criada gere silenciosamente um código de recuperação para qualquer usuário.
Recomendações
Como solução temporária, considere desativar a funcionalidade de validação de captcha no arquivo userRecoverPass.php até que um patch esteja disponível. Restrinja o acesso ao arquivo userRecoverPass.php para minimizar o risco de exploração. Evite usar a funcionalidade de código de recuperação na versão afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Avideo