PT-2024-32713 · Unknown · Shilpi Client Dashboard
Mohit Gadiya
·
Publicado
2024-10-04
·
Atualizado
2024-10-16
·
CVE-2024-47654
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do Shilpi Client Dashboard anteriores à 9.7.0
Descrição
Este problema existe devido à falta de limitação de taxa e proteção por Captcha para solicitações de OTP em determinados pontos de extremidade da API. Um invasor remoto não autenticado poderia explorar essa vulnerabilidade enviando múltiplas solicitações de OTP por meio de pontos de extremidade vulneráveis da API, levando a um ataque de “OTP bombing” no sistema visado. O invasor poderia inundar o sistema com solicitações, prejudicando o desempenho.
Recomendações
Para versões anteriores à 9.7.0, atualize para a versão 9.7.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso aos pontos de extremidade da API vulneráveis para minimizar o risco de exploração. Evite usar o recurso de solicitação de OTP nos pontos de extremidade da API afetados até que o problema seja resolvido.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Shilpi Client Dashboard