CRITICAL🇬🇧 English

CVE-2024-47088

Brak ograniczeń prób logowania w Apex Softcell LD Geo — brute force OTP

CVSS 9.3v4.0pub. 2024-09-19upd. 2024-09-26

Podatność w Apex Softcell LD Geo polega na braku mechanizmu blokowania nadmiernej liczby nieudanych prób uwierzytelnienia na interfejsie API. Umożliwia to zdalnemu atakującemu przeprowadzenie ataku brute force na jednorazowe hasło (OTP) i przejęcie kont innych użytkowników.

Pokaż oryginał (EN)

This vulnerability exists in Apex Softcell LD Geo due to missing restrictions for excessive failed authentication attempts on its API based login. A remote attacker could exploit this vulnerability by conducting a brute force attack on login OTP, which could lead to gain unauthorized access to other user accounts.

🤖 Analiza AI
Jak działa

Aplikacja nie implementuje ograniczeń liczby nieudanych prób logowania (CWE-307) na endpointach API obsługujących uwierzytelnienie OTP. Atakujący może automatycznie wysyłać kolejne żądania logowania, systematycznie sprawdzając możliwe wartości OTP. Z uwagi na ograniczoną przestrzeń wartości typowych kodów OTP, atak może zakończyć się sukcesem w krótkim czasie. Nie są wymagane żadne uprawnienia ani interakcja ofiary.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do kont innych użytkowników systemu. Skutkuje to naruszeniem poufności i integralności danych dostępnych w kontekście przejętych kont.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się wdrożenie mechanizmów ograniczania liczby prób logowania (rate limiting), blokowania konta po określonej liczbie nieudanych prób oraz monitorowania podejrzanej aktywności na endpointach API uwierzytelnienia.

Kogo dotyczy

Apex Softcell LD Geo oraz Apex Softcell LD DP Back Office — wersje wskazane w referencjach producenta

Uwagi

Podatność została zgłoszona przez CERT-In (Indie) pod numerem CIVN-2024-0296.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:L/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Apexsoftcell Ld Dp Back Office

    APP
    Apexsoftcell
    < 24.8.21.1
  • Apexsoftcell Ld Geo

    APP
    Apexsoftcell
    < 4.0.0.7
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-47085HIGH8.7ten sam produkt

This vulnerability exists in Apex Softcell LD DP Back Office due to improper validation of certain parameters ...

CVE-2024-47086HIGH8.7ten sam produkt

This vulnerability exists in Apex Softcell LD DP Back Office due to improper implementation of OTP validation ...

CVE-2024-47087HIGH8.7ten sam produkt

This vulnerability exists in Apex Softcell LD Geo due to improper validation of the certain parameters (Client...

CVE-2024-47089HIGH8.7ten sam produkt

This vulnerability exists in the Apex Softcell LD Geo due to improper validation of the transaction token ID i...

CVE-2024-47088 — Brak ograniczeń prób logowania w Apex Softcell LD Geo — brute force OTP — CRITICAL 9.3 | CVEbaza.pl