CRITICAL🇬🇧 English

CVE-2024-2051

Brak ograniczenia prób logowania w produkcie Schneider Electric — przejęcie konta

CVSS 9.8v3.1pub. 2024-03-18upd. 2026-04-15

Podatność CWE-307 w produkcie Schneider Electric umożliwia atakującemu przeprowadzenie ataku brute-force na formularz logowania bez żadnych ograniczeń liczby prób. W wyniku skutecznego ataku możliwe jest przejęcie konta i nieautoryzowany dostęp do systemu.

Pokaż oryginał (EN)

CWE-307: Improper Restriction of Excessive Authentication Attempts vulnerability exists that could cause account takeover and unauthorized access to the system when an attacker conducts brute-force attacks against the login form.

🤖 Analiza AI
Jak działa

System nie ogranicza liczby nieudanych prób uwierzytelnienia, co pozwala atakującemu na automatyczne, masowe testowanie kombinacji loginów i haseł (atak brute-force) bezpośrednio wobec formularza logowania. Brak mechanizmów blokady konta, CAPTCHA lub progów czasowych powoduje, że atakujący może kontynuować próby bez przeszkód aż do odgadnięcia prawidłowych danych uwierzytelniających.

Skutki

Atakujący może przejąć konto użytkownika i uzyskać nieautoryzowany dostęp do systemu, potencjalnie prowadząc do pełnego naruszenia poufności, integralności i dostępności danych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — biuletyn bezpieczeństwa Schneider Electric SEVD-2024-072-01 dostępny pod adresem wskazanym w sekcji referencji

Kogo dotyczy

Wersje wskazane w referencjach producenta (biuletyn bezpieczeństwa Schneider Electric SEVD-2024-072-01)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje
CVE-2024-2051 — Brak ograniczenia prób logowania w produkcie Schneider Electric — przejęcie konta — CRITICAL 9.8 | CVEbaza.pl