PT-2024-32378 · Mautic · Mautic

John Linhart

Publicado

2024-09-18

Atualizado

2024-09-20

CVE-2024-47059

CVSS v4.0

6.9

Média

Vetor

AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N

Nome do software vulnerável e versões afetadas

Versões do Mautic anteriores à 5.1.1

Descrição

O aplicativo responde de maneira diferente ao fazer login com um nome de usuário correto e uma senha fraca incorreta, em comparação com um nome de usuário incorreto e uma senha fraca. Essa diferença poderia ser usada para realizar a enumeração de nomes de usuário. Quando um nome de usuário correto é usado com uma senha fraca incorreta, o usuário recebe uma notificação informando que sua senha é muito fraca. Em contrapartida, quando um nome de usuário incorreto é fornecido juntamente com uma senha fraca, o aplicativo responde com uma notificação de “Credenciais inválidas”.

Recomendações

Atualize para a versão 5.1.1 ou posterior para resolver o problema.

Correção

Information Disclosure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-204CWE-200

Identificadores relacionados

CVE-2024-47059

GHSA-8VFF-35QM-QJVV

Produtos afetados

Mautic

PT-2024-32378 · Mautic · Mautic

CVE-2024-47059

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 8