CRITICAL🇬🇧 English

CVE-2024-43042

Pluck CMS 4.7.18 — brak ograniczenia nieudanych prób logowania (brute force)

CVSS 9.8v3.1pub. 2024-08-16upd. 2025-03-19

Pluck CMS w wersji 4.7.18 nie ogranicza liczby nieudanych prób logowania, co umożliwia przeprowadzenie ataku brute force. Brak mechanizmu blokady konta lub rate limiting sprawia, że atakujący może bez przeszkód zgadywać hasła do panelu administracyjnego.

Pokaż oryginał (EN)

Pluck CMS 4.7.18 does not restrict failed login attempts, allowing attackers to execute a brute force attack.

🤖 Analiza AI
Jak działa

Aplikacja nie implementuje żadnych zabezpieczeń ograniczających wielokrotne, nieudane próby uwierzytelnienia (CWE-307). Atakujący może automatycznie wysyłać żądania logowania z różnymi kombinacjami haseł bez ryzyka zablokowania konta lub spowolnienia procesu. W efekcie możliwe jest przeprowadzenie pełnego ataku brute force na panel administracyjny CMS.

Skutki

Skuteczny atak brute force może doprowadzić do przejęcia konta administratora, co w konsekwencji umożliwia atakującemu pełną kontrolę nad systemem CMS — w tym modyfikację treści, wgranie złośliwych plików lub dalsze kompromitowanie serwera.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako dodatkowe środki zaradcze zaleca się wdrożenie zewnętrznych mechanizmów ograniczania prób logowania (np. rate limiting na poziomie firewall lub serwera WWW), stosowanie silnych i unikalnych haseł administratora oraz rozważenie ograniczenia dostępu do panelu logowania na poziomie adresu IP.

Kogo dotyczy

Pluck CMS w wersji 4.7.18

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Pluck Cms Pluck

    APP
    Pluck-Cms
    4.7.18
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2021-31746CRITICAL9.8ten sam produkt

Zip Slip vulnerability in Pluck-CMS Pluck 4.7.15 allows an attacker to upload specially crafted zip files, res...

CVE-2020-20951CRITICAL9.8ten sam produkt

In Pluck-4.7.10-dev2 admin background, a remote command execution vulnerability exists when uploading files.

CVE-2019-11344CRITICAL9.8ten sam produkt

data/inc/files.php in Pluck 4.7.8 allows remote attackers to execute arbitrary code by uploading a .htaccess f...

CVE-2018-11736CRITICAL9.8ten sam produkt

An issue was discovered in Pluck before 4.7.7-dev2. /data/inc/images.php allows remote attackers to upload and...

CVE-2018-11331CRITICAL9.8ten sam produkt

An issue was discovered in Pluck before 4.7.6. Remote PHP code execution is possible because the set of disall...