Nome do software vulnerável e versões afetadas:

versões do scheb/two-factor-bundle anteriores à 3.26.0

versões do scheb/two-factor-bundle anteriores à 4.11.0

Descrição:

Uma falha de segurança permitia que invasores contornassem a autenticação de dois fatores (2FA) usando o cookie remember me. Quando a caixa de seleção remember me era marcada durante o login, um cookie “REMEMBERME” era criado. Ao ser redirecionado para a página de 2FA, os invasores podiam manipular a chave SESSIONID, obtendo acesso à página inicial “/” e conseguindo a autenticação sem concluir a 2FA.

Recomendações:

Para versões anteriores à 3.26.0, atualize para a versão 3.26.0 ou posterior para resolver o problema.

Para versões anteriores à 4.11.0, atualize para a versão 4.11.0 ou posterior para resolver o problema.

Como solução alternativa temporária, considere desativar o recurso remember me até que um patch esteja disponível.

Restrinja o acesso à chave SESSIONID para minimizar o risco de exploração.