PT-2025-26964 · Drupal · Enterprise Mfa - Tfa For Drupal
Conrad Lara
+2
·
Publicado
2025-06-26
·
Atualizado
2025-06-26
·
CVE-2025-6675
CVSS v3.1
4.8
Média
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas:
Enterprise MFA - TFA para Drupal versões 0.0.0 até 4.8.0
Enterprise MFA - TFA para Drupal versões 5.2.0 até 5.2.0
Enterprise MFA - TFA para Drupal versões 0.0.0 até 5.0.*
Enterprise MFA - TFA para Drupal versões 0.0.0 até 5.1.*
Descrição:
O problema afeta o módulo Enterprise MFA - TFA para Drupal, permitindo bypass de autenticação por meio de um caminho ou canal alternativo. Isso ocorre devido ao módulo não garantir suficientemente que as rotas de autorização conhecidas estejam protegidas.
Recomendações:
Para as versões 0.0.0 até 4.8.0, atualize para a versão 4.8.0 ou superior.
Para a versão 5.2.0, atualize para a versão 5.2.1 ou superior.
Para as versões 0.0.0 até 5.0., atualize para a versão 5.0. ou superior.
Para as versões 0.0.0 até 5.1., atualize para a versão 5.1. ou superior.
Como solução de contorno temporária, considere restringir o acesso às rotas de autorização conhecidas para minimizar o risco de exploração.
Correção
Authentication Bypass Using an Alternate Path or Channel
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Enterprise Mfa - Tfa For Drupal