PT-2024-33481 · Zimaos · Zimaos
Drdark1999
·
Publicado
2024-10-24
·
Atualizado
2024-11-06
·
CVE-2024-49358
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
ZimaOS versões 1.2.4 e anteriores
Descrição
O problema diz respeito ao endpoint da API
http://<Server-IP>/v1/users/login, que retorna respostas distintas dependendo da existência do nome de usuário ou da incorreção da senha. Esse comportamento pode ser explorado para enumeração de nomes de usuário, permitindo que invasores determinem se um usuário existe no sistema ou não. Os invasores podem aproveitar essas informações em ataques posteriores, como preenchimento de credenciais ou força-bruta direcionada de senhas.Recomendações
Para as versões 1.2.4 e anteriores do ZimaOS, como solução temporária, considere restringir o acesso ao endpoint da API
http://<Server-IP>/v1/users/login para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
Side Channel Attack
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Zimaos