Skip to main content

Vulnerabilidades en el software CDeX | CERT Polonia

mayo 23, 2024


ID CVE CVE-2024-2463
Fecha de publicación 21 de marzo de 2024
Proveedor Anuncio de servicio público CDeX
Producto CDeX
Versiones vulnerables hasta 5.71
Tipo de vulnerabilidad (CWE) Mecanismo de recuperación de contraseña débil en caso de contraseña olvidada (CWE-640)
Fuente del informe Informe al CERT Polonia
ID CVE CVE-2024-2464
Fecha de publicación 21 de marzo de 2024
Proveedor Anuncio de servicio público CDeX
Producto CDeX
Versiones vulnerables hasta 5.71
Tipo de vulnerabilidad (CWE) Discrepancia observable (CWE-203)
Fuente del informe Informe al CERT Polonia
ID CVE CVE-2024-2465
Fecha de publicación 21 de marzo de 2024
Proveedor Anuncio de servicio público CDeX
Producto CDeX
Versiones vulnerables hasta 5.71
Tipo de vulnerabilidad (CWE) Redirección de URL a un sitio que no es de confianza («Redirección abierta») (CWE-601)
Fuente del informe Informe al CERT Polonia

Descripción

CERT Polska recibió un informe sobre vulnerabilidades en el software CDeX y participó en la coordinación de su divulgación.

la vulnerabilidad CVE-2024-2463 Es un mecanismo de recuperación de contraseña débil que permite recuperar el token de restablecimiento de contraseña.

la vulnerabilidad CVE-2024-2464 permite la enumeración de usuarios de la aplicación. Este problema ocurre durante la recuperación de contraseña, donde una diferencia en los mensajes podría permitir a un atacante determinar si el usuario es válido o no, lo que permitiría un ataque de fuerza bruta con usuarios válidos.

la vulnerabilidad CVE-2024-2465 permite redirigir a los usuarios a sitios web arbitrarios a través de una URL especialmente diseñada.

El proveedor ha confirmado la eliminación de vulnerabilidades en versiones posteriores a la 5.7.1.

Créditos

Agradecemos a Michał Walkowski, PhD, por el informe de vulnerabilidad responsable.


Puede encontrar más información sobre el proceso coordinado de divulgación de vulnerabilidades en CERT Polska en https://cert.pl/es/cvd/.



Source link

Translate »