PT-2026-48649 · Cerebrate · Cerebrate
Andras Iklody
·
Publicado
2026-06-11
·
Atualizado
2026-06-11
·
CVE-2026-53912
CVSS v4.0
5.1
Média
| Vetor | AV:N/AC:L/AT:N/PR:H/UI:N/VC:L/VI:N/VA:N/SC:L/SI:N/SA:N/S:N/U:Green |
Nome do Software Vulnerável e Versões Afetadas
Cerebrate versões anteriores a 1.37
Description
O fluxo de autorregistro armazena a senha hash do registrante no payload de dados da mensagem da caixa de entrada. Este payload é retornado sem redação por meio de respostas de índice e visualização da caixa de entrada, incluindo saídas HTML, JSON e CSV, e também pode ser gravado sem redação em entradas de log de auditoria para a mensagem da caixa de entrada. Um usuário autenticado com privilégios suficientes para acessar entradas da caixa de entrada ou logs de auditoria relacionados pode recuperar esses hashes de senha. Embora os dados expostos sejam hashes e não senhas em texto simples, isso pode facilitar tentativas de quebra de senha offline, especialmente se os usuários reutilizarem senhas em diferentes sistemas.
Recommendations
Atualizar para a versão 1.37.
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cerebrate