CRITICAL🇬🇧 English

CVE-2024-51558

Brak ograniczeń liczby prób logowania w Wave 2.0 (brute force)

CVSS 9.3v4.0pub. 2024-11-04upd. 2024-11-08

Podatność w aplikacji Wave 2.0 firmy 63Moons umożliwia przeprowadzenie ataku brute force na interfejs API logowania z powodu braku mechanizmu blokowania nadmiernej liczby nieudanych prób uwierzytelnienia. Atakujący zdalnie i bez żadnego uwierzytelnienia może złamać hasło, OTP lub MPIN użytkownika i przejąć kontrolę nad jego kontem.

Pokaż oryginał (EN)

This vulnerability exists in the Wave 2.0 due to missing restrictions for excessive failed authentication attempts on its API based login. A remote attacker could exploit this vulnerability by conducting a brute force attack against legitimate user OTP, MPIN or password, which could lead to gain unauthorized access and compromise other user accounts.

🤖 Analiza AI
Jak działa

Aplikacja Wave 2.0 nie implementuje ograniczeń liczby nieudanych prób uwierzytelnienia na swoim interfejsie API (CWE-307: Improper Restriction of Excessive Authentication Attempts). Zdalny napastnik może wielokrotnie wysyłać żądania logowania, próbując kolejnych kombinacji OTP, MPIN lub hasła, bez ryzyka zablokowania lub wprowadzenia dodatkowych zabezpieczeń. Po odgadnięciu prawidłowych danych uwierzytelniających uzyskuje nieautoryzowany dostęp do konta ofiary.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do kont użytkowników i przejąć nad nimi pełną kontrolę. Skutkiem jest naruszenie poufności, integralności oraz dostępności danych przechowywanych na zaatakowanych kontach.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się wdrożenie mechanizmów ograniczania liczby prób logowania (rate limiting, blokada konta po określonej liczbie nieudanych prób) oraz monitorowania podejrzanej aktywności na interfejsie API.

Kogo dotyczy

63Moons Wave 2.0 oraz 63Moons Aero — szczegółowe wersje wskazane w referencjach producenta

Uwagi

Podatność została opublikowana przez indyjski CERT-In (CIVN-2024-0332) w dniu 2024-11-04.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • 63moons Aero

    APP
    63Moons
    < 120820241550
  • 63moons Wave 2.0

    APP
    63Moons
    < 1.1.7
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-51561CRITICAL9.3PL ✓ten sam produkt

Obejście weryfikacji OTP w produktach 63Moons Aero i Wave 2.0

CVE-2024-51556HIGH7.1ten sam produkt

This vulnerability exists in the Wave 2.0 due to insufficient encryption of sensitive data received at the API...

CVE-2024-51557HIGH7.1ten sam produkt

This vulnerability exists in the Wave 2.0 due to missing rate limiting on OTP requests in an API endpoint. An ...

CVE-2024-51559HIGH7.1ten sam produkt

This vulnerability exists in the Wave 2.0 due to improper authorization checks on certain API endpoints. An au...

CVE-2024-51560HIGH7.1ten sam produkt

This vulnerability exists in the Wave 2.0 due to improper exception handling for invalid inputs at certain API...