Vulnerabilidades en el software CDeX | CERT Polonia
ID CVE | CVE-2024-2463 |
Fecha de publicación | 21 de marzo de 2024 |
Proveedor | Anuncio de servicio público CDeX |
Producto | CDeX |
Versiones vulnerables | hasta 5.71 |
Tipo de vulnerabilidad (CWE) | Mecanismo de recuperación de contraseña débil en caso de contraseña olvidada (CWE-640) |
Fuente del informe | Informe al CERT Polonia |
ID CVE | CVE-2024-2464 |
Fecha de publicación | 21 de marzo de 2024 |
Proveedor | Anuncio de servicio público CDeX |
Producto | CDeX |
Versiones vulnerables | hasta 5.71 |
Tipo de vulnerabilidad (CWE) | Discrepancia observable (CWE-203) |
Fuente del informe | Informe al CERT Polonia |
ID CVE | CVE-2024-2465 |
Fecha de publicación | 21 de marzo de 2024 |
Proveedor | Anuncio de servicio público CDeX |
Producto | CDeX |
Versiones vulnerables | hasta 5.71 |
Tipo de vulnerabilidad (CWE) | Redirección de URL a un sitio que no es de confianza («Redirección abierta») (CWE-601) |
Fuente del informe | Informe al CERT Polonia |
Descripción
CERT Polska recibió un informe sobre vulnerabilidades en el software CDeX y participó en la coordinación de su divulgación.
la vulnerabilidad CVE-2024-2463 Es un mecanismo de recuperación de contraseña débil que permite recuperar el token de restablecimiento de contraseña.
la vulnerabilidad CVE-2024-2464 permite la enumeración de usuarios de la aplicación. Este problema ocurre durante la recuperación de contraseña, donde una diferencia en los mensajes podría permitir a un atacante determinar si el usuario es válido o no, lo que permitiría un ataque de fuerza bruta con usuarios válidos.
la vulnerabilidad CVE-2024-2465 permite redirigir a los usuarios a sitios web arbitrarios a través de una URL especialmente diseñada.
El proveedor ha confirmado la eliminación de vulnerabilidades en versiones posteriores a la 5.7.1.
Créditos
Agradecemos a Michał Walkowski, PhD, por el informe de vulnerabilidad responsable.
Puede encontrar más información sobre el proceso coordinado de divulgación de vulnerabilidades en CERT Polska en https://cert.pl/es/cvd/.