Podatność CWE-307 w produkcie Schneider Electric umożliwia atakującemu przeprowadzenie ataku brute-force na formularz logowania bez żadnych ograniczeń liczby prób. W wyniku skutecznego ataku możliwe jest przejęcie konta i nieautoryzowany dostęp do systemu.
▸ Pokaż oryginał (EN)
CWE-307: Improper Restriction of Excessive Authentication Attempts vulnerability exists that could cause account takeover and unauthorized access to the system when an attacker conducts brute-force attacks against the login form.
System nie ogranicza liczby nieudanych prób uwierzytelnienia, co pozwala atakującemu na automatyczne, masowe testowanie kombinacji loginów i haseł (atak brute-force) bezpośrednio wobec formularza logowania. Brak mechanizmów blokady konta, CAPTCHA lub progów czasowych powoduje, że atakujący może kontynuować próby bez przeszkód aż do odgadnięcia prawidłowych danych uwierzytelniających.
Atakujący może przejąć konto użytkownika i uzyskać nieautoryzowany dostęp do systemu, potencjalnie prowadząc do pełnego naruszenia poufności, integralności i dostępności danych.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — biuletyn bezpieczeństwa Schneider Electric SEVD-2024-072-01 dostępny pod adresem wskazanym w sekcji referencji
Wersje wskazane w referencjach producenta (biuletyn bezpieczeństwa Schneider Electric SEVD-2024-072-01)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H