CVE-2024-49762

Nome do software vulnerável e versões afetadas:

Versões do Pterodactyl anteriores à 1.11.8

Descrição:

Quando um usuário desativa a autenticação de dois fatores através do Painel, é enviada uma solicitação DELETE com sua senha atual em um parâmetro de consulta. Embora os parâmetros de consulta sejam criptografados ao usar TLS, muitos servidores web registram esses parâmetros em texto simples, armazenando a senha do usuário em texto simples. Se um usuário mal-intencionado obtiver acesso a esses registros, ele poderá potencialmente se autenticar na conta de um usuário, desde que consiga descobrir o endereço de e-mail ou o nome de usuário da conta separadamente. Os usuários que já desativaram a autenticação de dois fatores (2FA) no Painel devem alterar suas senhas e considerar ativar a 2FA caso ela tenha sido deixada desativada.

Recomendações:

Para resolver o problema, atualize para a versão 1.11.8 ou aplique o patch manualmente.

Como precaução, os usuários que já desativaram a autenticação de dois fatores devem alterar suas senhas e considerar ativar a autenticação de dois fatores.

Os administradores do Painel devem considerar a exclusão de quaisquer registros de acesso que possam conter dados confidenciais.