← voltar
CVE-2021-39189

Observable Response Discrepancy in Lost Password Service

CVSS 5.3 MEDIUMEPSS 1.2%CWE-204
Em resumo

A função de redefinição de senha do Pimcore deixa pistas que revelam se um usuário existe ou não no sistema, permitindo que atacantes descubram nomes de usuários válidos.

Detalhe técnico

Um atacante pode enumerar usuários válidos enviando requisições de recuperação de senha e observando diferenças nas respostas que indicam a existência de contas (CWE-204). O ataque requer apenas acesso à rede e ao endpoint de senha esquecida, comprometendo a confidencialidade da informação de existência de usuários.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Pimcore is an open source data & experience management platform. In versions prior to 10.1.3, it is possible to enumerate usernames via the forgot password functionality. This issue is fixed in version 10.1.3. As a workaround, one may apply the available patch manually.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Produtos afetados
pimcore · pimcore

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://github.com/pimcore/pimcore/pull/10223/commits/d0a4de39cf05dce6af71f8ca039132bdfcbb0dcehttps://github.com/pimcore/pimcore/pull/10223.patchhttps://github.com/pimcore/pimcore/security/advisories/GHSA-579x-cjvr-cqj9https://huntr.dev/bounties/12462a99-ebf8-4e39-80b3-54a16caa3f4c/