Podatność w aplikacji Wave 2.0 firmy 63Moons umożliwia przeprowadzenie ataku brute force na interfejs API logowania z powodu braku mechanizmu blokowania nadmiernej liczby nieudanych prób uwierzytelnienia. Atakujący zdalnie i bez żadnego uwierzytelnienia może złamać hasło, OTP lub MPIN użytkownika i przejąć kontrolę nad jego kontem.
▸ Pokaż oryginał (EN)
This vulnerability exists in the Wave 2.0 due to missing restrictions for excessive failed authentication attempts on its API based login. A remote attacker could exploit this vulnerability by conducting a brute force attack against legitimate user OTP, MPIN or password, which could lead to gain unauthorized access and compromise other user accounts.
Aplikacja Wave 2.0 nie implementuje ograniczeń liczby nieudanych prób uwierzytelnienia na swoim interfejsie API (CWE-307: Improper Restriction of Excessive Authentication Attempts). Zdalny napastnik może wielokrotnie wysyłać żądania logowania, próbując kolejnych kombinacji OTP, MPIN lub hasła, bez ryzyka zablokowania lub wprowadzenia dodatkowych zabezpieczeń. Po odgadnięciu prawidłowych danych uwierzytelniających uzyskuje nieautoryzowany dostęp do konta ofiary.
Atakujący może uzyskać nieautoryzowany dostęp do kont użytkowników i przejąć nad nimi pełną kontrolę. Skutkiem jest naruszenie poufności, integralności oraz dostępności danych przechowywanych na zaatakowanych kontach.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się wdrożenie mechanizmów ograniczania liczby prób logowania (rate limiting, blokada konta po określonej liczbie nieudanych prób) oraz monitorowania podejrzanej aktywności na interfejsie API.
63Moons Wave 2.0 oraz 63Moons Aero — szczegółowe wersje wskazane w referencjach producenta
Podatność została opublikowana przez indyjski CERT-In (CIVN-2024-0332) w dniu 2024-11-04.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X63moons Aero
APP63Moons< 12082024155063moons Wave 2.0
APP63Moons< 1.1.7
Powiązane podatności
Obejście weryfikacji OTP w produktach 63Moons Aero i Wave 2.0
This vulnerability exists in the Wave 2.0 due to insufficient encryption of sensitive data received at the API...
This vulnerability exists in the Wave 2.0 due to missing rate limiting on OTP requests in an API endpoint. An ...
This vulnerability exists in the Wave 2.0 due to improper authorization checks on certain API endpoints. An au...
This vulnerability exists in the Wave 2.0 due to improper exception handling for invalid inputs at certain API...