CVE-2021-34580
Remote user enumeration in mymbCONNECT24, mbCONNECT24 <= 2.9.0
Em resumo
Um atacante pode descobrir nomes de usuários válidos em sistemas mymbCONNECT24 e mbCONNECT24 observando como o servidor responde a tentativas de login falsas. Isso ajuda criminosos a identificar contas reais para ataques posteriores.
Detalhe técnico
A aplicação retorna respostas HTTP diferentes para nomes de usuários válidos versus inválidos durante a autenticação, permitindo enumeração por usuários não autenticados através de diferenças de resposta. Essa divulgação de informação (CWE-204) possibilita que atacantes criem uma lista de usuários legítimos para ataques de força bruta ou credential stuffing contra versões afetadas até 2.9.0.
Resumo gerado e traduzido por IA a partir da descrição oficial.
In mymbCONNECT24, mbCONNECT24 <= 2.9.0 an unauthenticated user can enumerate valid backend users by checking what kind of response the server sends for crafted invalid login attempts.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →