CRITICAL🇬🇧 English

CVE-2024-13239

Słabe uwierzytelnianie w module Two-Factor Authentication dla Drupal

CVSS 9.8v3.1pub. 2025-01-09upd. 2025-06-04

Moduł Two-Factor Authentication (TFA) dla Drupal zawiera podatność słabego uwierzytelniania (CWE-1390), która umożliwia nadużycie mechanizmu uwierzytelniania. Podatność otrzymała ocenę CVSS 9.8 (CRITICAL), co czyni ją poważnym zagrożeniem dla systemów Drupal korzystających z tego modułu.

Pokaż oryginał (EN)

Weak Authentication vulnerability in Drupal Two-factor Authentication (TFA) allows Authentication Abuse.This issue affects Two-factor Authentication (TFA): from 0.0.0 before 1.5.0.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej implementacji mechanizmu uwierzytelniania dwuskładnikowego w module TFA. Błąd pozwala atakującemu na ominięcie lub nadużycie procesu weryfikacji drugiego składnika uwierzytelniania. Ze względu na wektor sieciowy (AV:N), brak wymaganych uprawnień (PR:N) oraz brak interakcji użytkownika (UI:N), atak może być przeprowadzony zdalnie, bez żadnych wstępnych warunków.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do kont użytkowników chronionych mechanizmem TFA, skutecznie omijając zabezpieczenie dwuskładnikowe. Możliwe jest naruszenie poufności, integralności oraz dostępności danych (wszystkie trzy wskaźniki ocenione jako HIGH).

Mitygacja

Należy zaktualizować moduł Two-Factor Authentication (TFA) do wersji 1.5.0 lub nowszej. Szczegółowe informacje dostępne są w oficjalnym komunikacie bezpieczeństwa Drupal pod adresem https://www.drupal.org/sa-contrib-2024-003.

Kogo dotyczy

Moduł Two-Factor Authentication (TFA) dla Drupal w wersjach od 0.0.0 do 1.5.0 (wersja 1.5.0 nie jest objęta podatnością).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Two Factor Authentication Project Two Factor Authentication

    APP
    Two-Factor Authentication Project
    < 8.x-1.5
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-13279CRITICAL9.8PL ✓ten sam produkt

Session Fixation w module Drupal Two-Factor Authentication (TFA)

CVE-2025-31694HIGH8.1ten sam produkt

Incorrect Authorization vulnerability in Drupal Two-factor Authentication (TFA) allows Forceful Browsing.This ...

CVE-2025-7030MEDIUM6.5ten sam produkt

Privilege Defined With Unsafe Actions vulnerability in Drupal Two-factor Authentication (TFA) allows Exploitin...