CVE-2026-24468

Name of the Vulnerable Software and Affected Versions OpenAEV versões 1.11.0 até 2.0.12

Description OpenAEV é uma plataforma de código aberto para planejar, agendar e conduzir campanhas e testes de simulação de adversários cibernéticos. O endpoint '/api/reset' exibe comportamentos inconsistentes dependendo se o nome de usuário fornecido existe no sistema. Quando um e-mail inexistente é enviado através do parâmetro login, o servidor retorna uma resposta HTTP 400, enquanto um e-mail válido gera uma resposta HTTP 200. Essa discrepância permite que um invasor não autenticado realize a enumeração de contas, automatizando requisições para identificar endereços de e-mail registrados.

Recommendations Atualizar para a versão 2.0.13.