CRITICAL🇬🇧 English

CVE-2025-56221

Brak rate limiting w SigningHub umożliwia atak brute force na logowanie

CVSS 9.8v3.1pub. 2025-10-17upd. 2025-10-27

Podatność w SigningHub v8.6.8 polega na braku ograniczenia liczby prób logowania, co umożliwia atakującemu przeprowadzenie ataku brute force i ominięcie uwierzytelnienia. Ze względu na brak wymagań co do uprawnień czy interakcji użytkownika, podatność jest szczególnie niebezpieczna dla systemów dostępnych przez internet.

Pokaż oryginał (EN)

A lack of rate limiting in the login mechanism of SigningHub v8.6.8 allows attackers to bypass authentication via a brute force attack.

🤖 Analiza AI
Jak działa

Mechanizm logowania w SigningHub v8.6.8 nie implementuje rate limiting, czyli nie ogranicza liczby kolejnych prób uwierzytelnienia z danego źródła. Atakujący może w sposób zautomatyzowany wysyłać nieograniczoną liczbę żądań logowania z różnymi kombinacjami haseł (brute force), aż do skutecznego odgadnięcia prawidłowych danych uwierzytelniających. Atak jest możliwy zdalnie, bez jakichkolwiek wstępnych uprawnień ani interakcji ze strony ofiary.

Skutki

Atakujący, który pomyślnie odgadnie dane logowania, uzyskuje pełen nieautoryzowany dostęp do konta użytkownika lub administratora w systemie SigningHub, co może skutkować naruszeniem poufności, integralności i dostępności przetwarzanych dokumentów oraz danych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się wdrożenie mechanizmów blokowania kont lub tymczasowego zablokowania adresów IP po określonej liczbie nieudanych prób logowania, a także rozważenie wdrożenia wieloskładnikowego uwierzytelnienia (MFA) jako dodatkowej warstwy ochrony.

Kogo dotyczy

Ascertia SigningHub v8.6.8

Uwagi

Publiczne referencje wskazują na dostępność informacji o podatności w repozytorium GitHub (https://github.com/saykino/CVE-2025-56221), co może ułatwić opracowanie exploitu.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Ascertia Signinghub

    APP
    Ascertia
    ≤ 8.6.8
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2025-54321CRITICAL9.8PL ✓ten sam produkt

Brak rate limiting w funkcji resetowania hasła w Ascertia SigningHub

CVE-2025-56218CRITICAL9.8PL ✓ten sam produkt

Dowolne przesyłanie plików w SigningHub umożliwia RCE

CVE-2025-56219HIGH7.1ten sam produkt

Incorrect access control in SigningHub v8.6.8 allows attackers to arbitrarily add user accounts without any ra...

CVE-2025-56223HIGH7.5ten sam produkt

A lack of rate limiting in the component /Home/UploadStreamDocument of SigningHub v8.6.8 allows attackers to c...

CVE-2025-56224HIGH8.1ten sam produkt

A lack of rate limiting in the One-Time Password (OTP) verification endpoint of SigningHub v8.6.8 allows attac...