Pluck CMS w wersji 4.7.18 nie ogranicza liczby nieudanych prób logowania, co umożliwia przeprowadzenie ataku brute force. Brak mechanizmu blokady konta lub rate limiting sprawia, że atakujący może bez przeszkód zgadywać hasła do panelu administracyjnego.
▸ Pokaż oryginał (EN)
Pluck CMS 4.7.18 does not restrict failed login attempts, allowing attackers to execute a brute force attack.
Aplikacja nie implementuje żadnych zabezpieczeń ograniczających wielokrotne, nieudane próby uwierzytelnienia (CWE-307). Atakujący może automatycznie wysyłać żądania logowania z różnymi kombinacjami haseł bez ryzyka zablokowania konta lub spowolnienia procesu. W efekcie możliwe jest przeprowadzenie pełnego ataku brute force na panel administracyjny CMS.
Skuteczny atak brute force może doprowadzić do przejęcia konta administratora, co w konsekwencji umożliwia atakującemu pełną kontrolę nad systemem CMS — w tym modyfikację treści, wgranie złośliwych plików lub dalsze kompromitowanie serwera.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako dodatkowe środki zaradcze zaleca się wdrożenie zewnętrznych mechanizmów ograniczania prób logowania (np. rate limiting na poziomie firewall lub serwera WWW), stosowanie silnych i unikalnych haseł administratora oraz rozważenie ograniczenia dostępu do panelu logowania na poziomie adresu IP.
Pluck CMS w wersji 4.7.18
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HPluck Cms Pluck
APPPluck-Cms4.7.18
Powiązane podatności
Zip Slip vulnerability in Pluck-CMS Pluck 4.7.15 allows an attacker to upload specially crafted zip files, res...
In Pluck-4.7.10-dev2 admin background, a remote command execution vulnerability exists when uploading files.
data/inc/files.php in Pluck 4.7.8 allows remote attackers to execute arbitrary code by uploading a .htaccess f...
An issue was discovered in Pluck before 4.7.7-dev2. /data/inc/images.php allows remote attackers to upload and...
An issue was discovered in Pluck before 4.7.6. Remote PHP code execution is possible because the set of disall...