CRITICAL🇬🇧 English

CVE-2025-25595

Brak rate limiting w Safe App umożliwia atak brute force na logowanie

CVSS 9.8v3.1pub. 2025-03-18upd. 2025-04-01

Aplikacja Safe App w wersji a3.0.9 (IITB) nie implementuje mechanizmu ograniczania liczby prób logowania, co umożliwia atakującemu przeprowadzenie ataku brute force i obejście uwierzytelnienia. Podatność jest krytyczna ze względu na brak jakichkolwiek wymagań wstępnych do jej wykorzystania.

Pokaż oryginał (EN)

A lack of rate limiting in the login page of Safe App version a3.0.9 allows attackers to bypass authentication via a brute force attack.

🤖 Analiza AI
Jak działa

Strona logowania aplikacji Safe App nie narzuca limitu liczby nieudanych prób uwierzytelnienia (brak rate limiting). Atakujący może automatycznie wysyłać nieograniczoną liczbę żądań logowania z różnymi kombinacjami haseł, aż do skutecznego odgadnięcia prawidłowych danych uwierzytelniających. Atak jest możliwy zdalnie, bez uwierzytelnienia i bez interakcji użytkownika, co klasyfikuje go jako bardzo łatwy do przeprowadzenia.

Skutki

Atakujący, który pomyślnie przeprowadzi atak brute force, może uzyskać nieautoryzowany dostęp do kont użytkowników aplikacji, co prowadzi do naruszenia poufności, integralności oraz dostępności danych przechowywanych w aplikacji.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się wdrożenie mechanizmów ograniczania liczby prób logowania (rate limiting), blokady konta po określonej liczbie nieudanych prób oraz CAPTCHA na stronie logowania.

Kogo dotyczy

Safe App (IITB) w wersji a3.0.9

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Iitb Safe

    APP
    Iitb
    a3.0.9
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje
CVE-2025-25595 — Brak rate limiting w Safe App umożliwia atak brute force na logowanie — CRITICAL 9.8 | CVEbaza.pl