Akinsoft MyRezzta zawiera podatność CWE-307 polegającą na braku właściwego ograniczenia liczby prób uwierzytelnienia. Umożliwia to atakującemu przeprowadzenie ataku brute force, ominięcie mechanizmów logowania oraz nadużycie funkcji odzyskiwania hasła.
▸ Pokaż oryginał (EN)
Improper Restriction of Excessive Authentication Attempts vulnerability in Akinsoft MyRezzta allows Authentication Bypass, Password Recovery Exploitation, Brute Force. This issue affects MyRezzta: from s2.03.01 before v2.05.01.
Aplikacja nie implementuje skutecznych mechanizmów ograniczających liczbę kolejnych prób logowania, takich jak blokada konta, CAPTCHA czy throttling żądań. Atakujący może wielokrotnie próbować różnych kombinacji haseł (brute force) bez żadnych konsekwencji po stronie systemu. Brak ochrony dotyczy również procedury odzyskiwania hasła, co może zostać wykorzystane do przejęcia konta bez znajomości oryginalnego hasła.
Atakujący może uzyskać nieautoryzowany dostęp do kont użytkowników, w tym kont administracyjnych, co prowadzi do pełnego naruszenia poufności, integralności i dostępności danych w aplikacji.
Należy zaktualizować Akinsoft MyRezzta do wersji v2.05.01 lub nowszej. Szczegółowe informacje dostępne są pod adresem: https://siberguvenlik.gov.tr/guvenlik-bildirimleri/detay/tr-25-0205
Akinsoft MyRezzta w wersjach od s2.03.01 do wersji poprzedzających v2.05.01
Podatność zgłoszona przez tureckie organy ds. cyberbezpieczeństwa (USOM/SGM) i opublikowana w ramach krajowego biuletynu TR-25-0205.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H