CRITICAL🇬🇧 English

CVE-2025-1740

Brak ograniczenia prób logowania w Akinsoft MyRezzta — ominięcie uwierzytelnienia

CVSS 9.8v3.1pub. 2025-09-03upd. 2026-06-06

Akinsoft MyRezzta zawiera podatność CWE-307 polegającą na braku właściwego ograniczenia liczby prób uwierzytelnienia. Umożliwia to atakującemu przeprowadzenie ataku brute force, ominięcie mechanizmów logowania oraz nadużycie funkcji odzyskiwania hasła.

Pokaż oryginał (EN)

Improper Restriction of Excessive Authentication Attempts vulnerability in Akinsoft MyRezzta allows Authentication Bypass, Password Recovery Exploitation, Brute Force. This issue affects MyRezzta: from s2.03.01 before v2.05.01.

🤖 Analiza AI
Jak działa

Aplikacja nie implementuje skutecznych mechanizmów ograniczających liczbę kolejnych prób logowania, takich jak blokada konta, CAPTCHA czy throttling żądań. Atakujący może wielokrotnie próbować różnych kombinacji haseł (brute force) bez żadnych konsekwencji po stronie systemu. Brak ochrony dotyczy również procedury odzyskiwania hasła, co może zostać wykorzystane do przejęcia konta bez znajomości oryginalnego hasła.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do kont użytkowników, w tym kont administracyjnych, co prowadzi do pełnego naruszenia poufności, integralności i dostępności danych w aplikacji.

Mitygacja

Należy zaktualizować Akinsoft MyRezzta do wersji v2.05.01 lub nowszej. Szczegółowe informacje dostępne są pod adresem: https://siberguvenlik.gov.tr/guvenlik-bildirimleri/detay/tr-25-0205

Kogo dotyczy

Akinsoft MyRezzta w wersjach od s2.03.01 do wersji poprzedzających v2.05.01

Uwagi

Podatność zgłoszona przez tureckie organy ds. cyberbezpieczeństwa (USOM/SGM) i opublikowana w ramach krajowego biuletynu TR-25-0205.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje