CRITICAL🇬🇧 English

CVE-2025-47781

Rallly – brute force tokenu logowania umożliwia przejęcie konta

CVSS 9.8v3.1pub. 2025-05-14upd. 2025-11-06

Rallly w wersjach do 3.22.1 włącznie stosuje 6-cyfrowy token jako jedyny składnik uwierzytelnienia e-mail, co przy braku mechanizmów ochrony przed brute force pozwala nieuwierzytelnionemu atakującemu przejąć dowolne konto użytkownika w ciągu 15 minut. Podatność otrzymała ocenę CVSS 9.8 (CRITICAL) i zagraża wszystkim użytkownikom aplikacji.

Pokaż oryginał (EN)

Rallly is an open-source scheduling and collaboration tool. Versions up to and including 3.22.1 of the application features token based authentication. When a user attempts to login to the application, they insert their email and a 6 digit code is sent to their email address to complete the authentication. A token that consists of 6 digits only presents weak entropy however and when coupled with no token brute force protection, makes it possible for an unauthenticated attacker with knowledge of a valid email address to successfully brute force the token within 15 minutes (token expiration time) and take over the account associated with the targeted email address. All users on the Rallly applications are impacted. As long as an attacker knows the user's email address they used to register on the app, they can systematically take over any user account. For the authentication mechanism to be safe, the token would need to be assigned a complex high entropy value that cannot be bruteforced within reasonable time, and ideally rate limiting the /api/auth/callback/email endpoint to further make brute force attempts unreasonable within the 15 minutes time. As of time of publication, no patched versions are available.

🤖 Analiza AI
Jak działa

Podczas logowania użytkownik podaje adres e-mail, a aplikacja wysyła na ten adres 6-cyfrowy kod weryfikacyjny ważny przez 15 minut. Token złożony wyłącznie z cyfr (zakres 000000–999999, łącznie 1 000 000 kombinacji) cechuje się bardzo niską entropią (CWE-331). Endpoint /api/auth/callback/email nie implementuje żadnego rate limitingu ani innej ochrony przed brute force, co umożliwia systematyczne sprawdzanie wszystkich możliwych wartości tokenu w czasie krótszym niż 15 minut. Atakujący potrzebuje jedynie znajomości prawidłowego adresu e-mail ofiary zarejestrowanego w aplikacji.

Skutki

Atakujący może w pełni przejąć konto dowolnego użytkownika Rallly — uzyskując nieautoryzowany dostęp do jego danych, harmonogramów i zasobów współdzielonych (naruszenie poufności, integralności i dostępności). Zagrożeni są wszyscy użytkownicy aplikacji, dla których znany jest adres e-mail rejestracyjny.

Mitygacja

W chwili publikacji doradztwa bezpieczeństwa nie było dostępnych wersji zawierających poprawkę. Należy śledzić repozytorium producenta (GitHub: lukevella/rallly) i zastosować patch niezwłocznie po jego udostępnieniu. Do czasu wydania łatki zaleca się rozważenie tymczasowego ograniczenia dostępu do endpointu /api/auth/callback/email (np. poprzez zewnętrzny firewall lub reverse proxy z rate limitingiem) oraz monitorowanie logów pod kątem anomalnie dużej liczby żądań uwierzytelniających.

Kogo dotyczy

Rallly (aplikacja open-source) w wersjach do 3.22.1 włącznie

Uwagi

Według doradztwa bezpieczeństwa opublikowanego na GitHubie (GHSA-gm8g-3r3j-48hv), na dzień publikacji (2025-05-14) brak było dostępnych wersji z poprawką. Producent wskazał dwa kierunki naprawy: zastosowanie tokenu o wysokiej entropii oraz wprowadzenie rate limitingu na endpoint /api/auth/callback/email.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Rallly

    APP
    Rallly
    ≤ 3.11.2
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2025-65021CRITICAL9.1PL ✓ten sam produkt

IDOR w Rallly — nieautoryzowane finalizowanie ankiet innych użytkowników

CVE-2025-66027HIGH7.1ten sam produkt

Rallly is an open-source scheduling and collaboration tool. Prior to version 4.5.6, an information disclosure ...

CVE-2025-65029HIGH8.1ten sam produkt

Rallly is an open-source scheduling and collaboration tool. Prior to version 4.5.4, an insecure direct object ...

CVE-2025-65033HIGH8.1ten sam produkt

Rallly is an open-source scheduling and collaboration tool. Prior to version 4.5.4, an authorization flaw in t...

CVE-2025-65034HIGH8.1ten sam produkt

Rallly is an open-source scheduling and collaboration tool. Prior to version 4.5.4, an improper authorization ...

CVE-2025-47781 — Rallly – brute force tokenu logowania umożliwia przejęcie konta — CRITICAL 9.8 | CVEbaza.pl