PT-2024-18916 · Unknown · Caddy-Security
David Pokora
+2
·
Publicado
2024-02-16
·
Atualizado
2024-12-05
·
CVE-2024-21500
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
github.com/greenpau/caddy-security – todas as versões
Descrição
O problema diz respeito à restrição inadequada de tentativas excessivas de autenticação por meio do mecanismo de autenticação de dois fatores (2FA). Embora o aplicativo bloqueie os usuários após várias tentativas malsucedidas de fornecer códigos 2FA, os invasores podem contornar esse mecanismo de bloqueio automatizando todo o processo de 2FA de várias etapas do aplicativo.
Recomendações
Para todas as versões, considere desativar temporariamente o mecanismo de autenticação de dois fatores (2FA) até que uma correção esteja disponível. Restrinja o acesso ao processo de 2FA para minimizar o risco de exploração. Evite usar processos automatizados que possam acionar o mecanismo de 2FA excessivamente até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Improper Restriction of Excessive Authentication Attempts
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Caddy-Security