PT-2024-22347 · Casaos · Casaos
Drdark1999
·
Publicado
2024-04-01
·
Atualizado
2025-06-24
·
CVE-2024-28232
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do CasaOS anteriores à 0.4.7
Descrição
A página de login do CasaOS apresenta uma vulnerabilidade que permite a enumeração de nomes de usuário. Um invasor pode enumerar nomes de usuário observando a resposta do aplicativo. Se o nome de usuário estiver incorreto, o aplicativo retorna “Usuário não existe” com o código de retorno “10006”, enquanto que, se a senha estiver incorreta, ele retorna “Usuário não existe ou senha inválida” com o código de retorno “10013”. Isso permite que um invasor determine se um nome de usuário existe sem saber a senha.
Recomendações
Para versões anteriores à 0.4.7, atualize para a versão 0.4.7 ou posterior para resolver o problema. Como solução temporária, considere implementar uma única mensagem de erro, como “Nome de usuário/senha incorreto!”, com um único código de retorno, para impedir que invasores enumerem nomes de usuário com base na resposta do aplicativo.
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Casaos