userSpice 4.3.24 zawiera podatność umożliwiającą nieuuwierzytelnionym atakującym odkrycie prawidłowych nazw użytkowników w systemie. Stanowi to istotne zagrożenie, ponieważ ułatwia przeprowadzenie dalszych ataków, takich jak brute force czy credential stuffing.
▸ Pokaż oryginał (EN)
userSpice 4.3.24 contains a username enumeration vulnerability that allows unauthenticated attackers to discover valid usernames by sending POST requests to the existingUsernameCheck.php endpoint. Attackers can submit usernames and analyze response text for the 'taken' string to identify existing accounts in the system.
Atakujący wysyła żądania POST do endpointu existingUsernameCheck.php, podając kolejne nazwy użytkowników do sprawdzenia. Aplikacja zwraca różne odpowiedzi tekstowe w zależności od tego, czy dana nazwa istnieje w systemie — obecność ciągu 'taken' w odpowiedzi wskazuje na istnienie konta. Analizując te odpowiedzi, atakujący może skutecznie zidentyfikować istniejące konta bez posiadania jakichkolwiek poświadczeń (CWE-204: Observable Response Discrepancy).
Atakujący może zbudować listę prawidłowych nazw użytkowników zarejestrowanych w systemie, co znacząco ułatwia przeprowadzenie ukierunkowanych ataków na konta (np. ataki słownikowe lub credential stuffing).
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się ujednolicenie odpowiedzi zwracanych przez endpoint existingUsernameCheck.php tak, aby nie ujawniały informacji o istnieniu kont, oraz rozważenie ograniczenia dostępu do tego endpointu wyłącznie dla uwierzytelnionych użytkowników.
userSpice w wersji 4.3.24
Dla tej podatności dostępny jest publiczny exploit opublikowany w Exploit-DB (exploit ID 44872), co zwiększa ryzyko jej wykorzystania przez potencjalnych atakujących.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X