Moduł Two-Factor Authentication (TFA) dla Drupal zawiera podatność słabego uwierzytelniania (CWE-1390), która umożliwia nadużycie mechanizmu uwierzytelniania. Podatność otrzymała ocenę CVSS 9.8 (CRITICAL), co czyni ją poważnym zagrożeniem dla systemów Drupal korzystających z tego modułu.
▸ Pokaż oryginał (EN)
Weak Authentication vulnerability in Drupal Two-factor Authentication (TFA) allows Authentication Abuse.This issue affects Two-factor Authentication (TFA): from 0.0.0 before 1.5.0.
Podatność wynika z nieprawidłowej implementacji mechanizmu uwierzytelniania dwuskładnikowego w module TFA. Błąd pozwala atakującemu na ominięcie lub nadużycie procesu weryfikacji drugiego składnika uwierzytelniania. Ze względu na wektor sieciowy (AV:N), brak wymaganych uprawnień (PR:N) oraz brak interakcji użytkownika (UI:N), atak może być przeprowadzony zdalnie, bez żadnych wstępnych warunków.
Atakujący może uzyskać nieautoryzowany dostęp do kont użytkowników chronionych mechanizmem TFA, skutecznie omijając zabezpieczenie dwuskładnikowe. Możliwe jest naruszenie poufności, integralności oraz dostępności danych (wszystkie trzy wskaźniki ocenione jako HIGH).
Należy zaktualizować moduł Two-Factor Authentication (TFA) do wersji 1.5.0 lub nowszej. Szczegółowe informacje dostępne są w oficjalnym komunikacie bezpieczeństwa Drupal pod adresem https://www.drupal.org/sa-contrib-2024-003.
Moduł Two-Factor Authentication (TFA) dla Drupal w wersjach od 0.0.0 do 1.5.0 (wersja 1.5.0 nie jest objęta podatnością).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HTwo Factor Authentication Project Two Factor Authentication
APPTwo-Factor Authentication Project< 8.x-1.5
Powiązane podatności
Session Fixation w module Drupal Two-Factor Authentication (TFA)
Incorrect Authorization vulnerability in Drupal Two-factor Authentication (TFA) allows Forceful Browsing.This ...
Privilege Defined With Unsafe Actions vulnerability in Drupal Two-factor Authentication (TFA) allows Exploitin...