CVE-2025-56449

Nome do Software Vulnerável e Versões Afetadas Versões 5.0.0 a 6.3.0 do Obsidian Scheduler

Descrição Existe uma vulnerabilidade de segurança na API REST do Obsidian Scheduler. Se uma conta for bloqueada devido à não configuração da Autenticação Multifator (MFA), a API REST continua a permitir o uso da Autenticação Básica para tarefas administrativas. Especificamente, a conta de administrador padrão, mesmo quando bloqueada através da interface web, permanece utilizável via API REST. Isso permite a criação de novos usuários privilegiados, contornando as proteções de MFA e enfraquecendo as medidas de segurança previstas. Os endpoints da API envolvidos permitem ações administrativas apesar do bloqueio da conta. O parâmetro vulnerável é o método de autenticação que permite a Autenticação Básica quando o MFA é exigido.

Recomendações Para as versões 5.0.0 a 6.3.0, restrinja o uso da Autenticação Básica quando o MFA for exigido.