CVE-2024-54002

Nome do software vulnerável e versões afetadas:

Versões do Dependency-Track anteriores à 4.12.2

Descrição:

A vulnerabilidade permite que invasores enumerem nomes válidos de usuários gerenciados, aproveitando a diferença observável na duração da solicitação ao realizar uma solicitação de login no endpoint “/api/v1/user/login” com um nome de usuário que existe no sistema em comparação com um que não existe. Isso pode ser feito medindo o tempo que leva para processar uma solicitação de login com um nome de usuário existente em comparação com um que não existe. Usuários LDAP e OpenID Connect não são afetados.

Recomendações:

Para versões anteriores à 4.12.2, atualize para o Dependency-Track 4.12.2 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao endpoint “/api/v1/user/login” para minimizar o risco de exploração. Evite usar este endpoint para solicitações de login até que o problema seja resolvido.