PT-2024-32288 · Mfasoft · Mfasoft Secure Authentication Server
Publicado
2024-09-16
·
Atualizado
2024-10-24
·
CVE-2024-46937
CVSS v2.0
9.4
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:N |
Nome do software vulnerável e versões afetadas
MFASOFT Secure Authentication Server (SAS), versões 1.8.x a 1.9.x anteriores à 1.9.040924
Descrição
Uma vulnerabilidade de controle de acesso inadequado no endpoint “/api-selfportal/get-info-token-properties” permite que invasores remotos obtenham acesso a tokens de usuário sem autenticação. Isso pode ser feito por meio de um ataque de força bruta no parâmetro
serial por meio do identificador numérico.Recomendações
Para as versões 1.8.x a 1.9.x do MFASOFT Secure Authentication Server (SAS) anteriores à 1.9.040924, considere desativar o acesso ao endpoint “/api-selfportal/get-info-token-properties” até que uma correção esteja disponível. Como solução alternativa temporária, restrinja o uso do parâmetro
serial para minimizar o risco de exploração. Atualize para a versão 1.9.040924 ou posterior para resolver o problema.Correção
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Mfasoft Secure Authentication Server