PT-2024-19601 · Unknown · Openslides
Mdickopp
·
Publicado
2024-09-25
·
Atualizado
2025-06-13
·
CVE-2024-22893
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
OpenSlides versão 4.0.15
Descrição
A vulnerabilidade permite que invasores obtenham informações sobre o hash da senha por meio de um ataque de temporização, uma vez que a função de verificação de senha no OpenSlides apresenta tempo de execução dependente do conteúdo. Isso significa que a função leva tempos diferentes para comparar os hashes de senha, podendo revelar informações confidenciais.
Recomendações
Para o OpenSlides versão 4.0.15, considere implementar uma função de comparação de tempo constante para hashes de senha a fim de prevenir ataques de temporização. Como solução temporária, restrinja o acesso à função de verificação de senha até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Openslides