Podatność w SigningHub v8.6.8 polega na braku ograniczenia liczby prób logowania, co umożliwia atakującemu przeprowadzenie ataku brute force i ominięcie uwierzytelnienia. Ze względu na brak wymagań co do uprawnień czy interakcji użytkownika, podatność jest szczególnie niebezpieczna dla systemów dostępnych przez internet.
▸ Pokaż oryginał (EN)
A lack of rate limiting in the login mechanism of SigningHub v8.6.8 allows attackers to bypass authentication via a brute force attack.
Mechanizm logowania w SigningHub v8.6.8 nie implementuje rate limiting, czyli nie ogranicza liczby kolejnych prób uwierzytelnienia z danego źródła. Atakujący może w sposób zautomatyzowany wysyłać nieograniczoną liczbę żądań logowania z różnymi kombinacjami haseł (brute force), aż do skutecznego odgadnięcia prawidłowych danych uwierzytelniających. Atak jest możliwy zdalnie, bez jakichkolwiek wstępnych uprawnień ani interakcji ze strony ofiary.
Atakujący, który pomyślnie odgadnie dane logowania, uzyskuje pełen nieautoryzowany dostęp do konta użytkownika lub administratora w systemie SigningHub, co może skutkować naruszeniem poufności, integralności i dostępności przetwarzanych dokumentów oraz danych.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się wdrożenie mechanizmów blokowania kont lub tymczasowego zablokowania adresów IP po określonej liczbie nieudanych prób logowania, a także rozważenie wdrożenia wieloskładnikowego uwierzytelnienia (MFA) jako dodatkowej warstwy ochrony.
Ascertia SigningHub v8.6.8
Publiczne referencje wskazują na dostępność informacji o podatności w repozytorium GitHub (https://github.com/saykino/CVE-2025-56221), co może ułatwić opracowanie exploitu.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HAscertia Signinghub
APPAscertia≤ 8.6.8
Powiązane podatności
Brak rate limiting w funkcji resetowania hasła w Ascertia SigningHub
Dowolne przesyłanie plików w SigningHub umożliwia RCE
Incorrect access control in SigningHub v8.6.8 allows attackers to arbitrarily add user accounts without any ra...
A lack of rate limiting in the component /Home/UploadStreamDocument of SigningHub v8.6.8 allows attackers to c...
A lack of rate limiting in the One-Time Password (OTP) verification endpoint of SigningHub v8.6.8 allows attac...