PT-2024-34700 · Wave · Wave
Mohit Gadiya
·
Publicado
2024-11-04
·
Atualizado
2024-11-08
·
CVE-2024-51557
CVSS v4.0
7.1
Alta
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Wave 2.0
Descrição
Este problema existe devido à ausência de limitação de taxa nas solicitações de OTP em um endpoint de API. Um invasor remoto autenticado poderia explorar essa vulnerabilidade enviando múltiplas solicitações de OTP por meio do endpoint de API vulnerável, levando a um ataque de “OTP bombing” ou “flooding” no sistema visado. A vulnerabilidade está relacionada ao controle inadequado da frequência de interação.
Recomendações
Para o Wave 2.0, atualize para a versão mais recente o mais rápido possível e monitore atividades suspeitas. Como solução temporária, considere restringir o acesso ao endpoint da API vulnerável para minimizar o risco de exploração.
Correção
Allocation of Resources Without Limits
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Wave