Aplikacja Agentflow firmy Flowring Technology zawiera podatność typu Account Lockout Bypass (CWE-307), która pozwala nieuwierzytelnionemu atakującemu zdalnie przeprowadzić atak brute force na hasła użytkowników. Podatność uzyskała ocenę CVSS 9.8 (CRITICAL), co czyni ją poważnym zagrożeniem dla bezpieczeństwa kont w systemie.
▸ Pokaż oryginał (EN)
Agentflow from Flowring Technology has an Account Lockout Bypass vulnerability, allowing unauthenticated remote attackers to exploit this vulnerability to perform password brute force attack.
System nie implementuje skutecznego mechanizmu blokowania konta po określonej liczbie nieudanych prób logowania (brak lub obejście polityki Account Lockout). Nieuwierzytelniony atakujący zdalnie, bez jakichkolwiek uprawnień i bez interakcji użytkownika, może wysyłać nieograniczoną liczbę żądań logowania z różnymi kombinacjami haseł. Brak ograniczeń liczby prób pozwala na automatyczne testowanie dużych zbiorów haseł aż do odnalezienia prawidłowego.
Atakujący może odgadnąć hasło dowolnego użytkownika systemu i przejąć kontrolę nad jego kontem, uzyskując dostęp do poufnych danych oraz funkcji systemu Agentflow. W zależności od uprawnień przejętego konta możliwe jest naruszenie poufności, integralności i dostępności systemu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi przez TWCERT/CC pod adresami: https://www.twcert.org.tw/en/cp-139-10090-112f7-2.html oraz https://www.twcert.org.tw/tw/cp-132-10091-12462-1.html. Dodatkowo, do czasu wdrożenia poprawki, zaleca się ograniczenie dostępu do interfejsu logowania na poziomie sieci (firewall, VPN) oraz wdrożenie zewnętrznych mechanizmów ograniczania liczby prób logowania (np. WAF, reverse proxy z rate limiting).
Flowring Agentflow — wersje wskazane w referencjach producenta (TWCERT/CC)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HFlowring Agentflow
APPFlowring4.0
Powiązane podatności
Pomijanie uwierzytelnienia w Flowring Agentflow — przejęcie tokenu dowolnego użytkownika
Flowring Agentflow — brak uwierzytelnienia umożliwia manipulację bazą danych
The file upload function of Agentflow BPM has insufficient filtering for special characters in URLs. An unauth...
Agentflow developed by Flowring has an Arbitrary File Upload vulnerability, allowing authenticated remote atta...
Agentflow BPM enterprise management system has improper authentication. A remote attacker with general user pr...