PT-2024-36875 · Craft Cms · Two-Factor Authentication

Fabian Funder

Publicado

2024-06-06

Atualizado

2025-09-03

CVE-2024-5657

CVSS v3.1

8.1

Alta

Vetor

AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Nome do software vulnerável e versões afetadas

Plugin Two-Factor Authentication do CraftCMS, versões 3.3.1 a 3.3.3

Descrição

A vulnerabilidade expõe o hash da senha do usuário atualmente autenticado após o envio de um TOTP válido.

Recomendações

Para as versões 3.3.1 a 3.3.3, considere desativar o plugin Two-Factor Authentication até que uma correção esteja disponível para evitar a divulgação dos hashes de senha.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

Information Disclosure

Insufficiently Protected Credentials

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-200CWE-522CWE-499

Identificadores relacionados

CVE-2024-5657

GHSA-3P4X-GRPM-XW58

Produtos afetados

Two-Factor Authentication

PT-2024-36875 · Craft Cms · Two-Factor Authentication

CVE-2024-5657

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 15