CRITICAL🇬🇧 English

CVE-2023-33759

Splicecom Maximiser Soft PBX — brak ograniczenia prób uwierzytelnienia (brute force)

CVSS 9.8v3.1pub. 2024-01-25upd. 2025-05-30

SpliceCom Maximiser Soft PBX w wersji 1.5 i wcześniejszych nie ogranicza liczby prób logowania, co umożliwia atakującemu ominięcie uwierzytelnienia metodą brute force. Podatność otrzymała ocenę CVSS 9.8 (CRITICAL) i nie wymaga żadnych uprawnień ani interakcji użytkownika.

Pokaż oryginał (EN)

SpliceCom Maximiser Soft PBX v1.5 and before does not restrict excessive authentication attempts, allowing attackers to bypass authentication via a brute force attack.

🤖 Analiza AI
Jak działa

System nie implementuje mechanizmów ograniczających liczbę nieudanych prób uwierzytelnienia (CWE-307 — Improper Restriction of Excessive Authentication Attempts). Atakujący może wysyłać nieograniczoną liczbę żądań logowania przez sieć, systematycznie testując kombinacje danych uwierzytelniających. Brak blokady konta, limitów czasowych ani mechanizmów CAPTCHA sprawia, że atak brute force może zostać przeprowadzony skutecznie bez żadnych przeszkód technicznych.

Skutki

Skuteczny atak pozwala atakującemu uzyskać nieautoryzowany dostęp do systemu PBX, co może prowadzić do pełnego przejęcia kontroli nad centralą telefoniczną, naruszenia poufności i integralności danych oraz potencjalnego zakłócenia działania usług komunikacyjnych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się wdrożenie kontroli kompensujących, takich jak ograniczenie dostępu do interfejsu logowania na poziomie firewall, wprowadzenie limitów prób logowania oraz monitorowanie anomalnych wzorców uwierzytelnienia.

Kogo dotyczy

SpliceCom Maximiser Soft PBX w wersji 1.5 oraz wcześniejszych.

Uwagi

Referencje wskazują na repozytorium GitHub użytkownika twignet/splicecom, które może zawierać dodatkowe informacje techniczne lub kod demonstracyjny podatności.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Splicecom Maximiser Soft Pbx

    APP
    Splicecom
    ≤ 1.5
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2023-33758MEDIUM6.1ten sam produkt

Splicecom Maximiser Soft PBX v1.5 and before was discovered to contain a cross-site scripting (XSS) vulnerabil...

CVE-2023-33760MEDIUM5.3ten sam produkt

SpliceCom Maximiser Soft PBX v1.5 and before was discovered to utilize a default SSL certificate. This issue c...

CVE-2023-33757MEDIUM5.9ten sam vendor

A lack of SSL certificate validation in Splicecom iPCS (iOS App) v1.3.4, iPCS2 (iOS App) v2.8 and before, and ...