W aplikacji 2Dogz Blogin (projekt university-bbs) odkryto krytyczną podatność polegającą na słabym mechanizmie generowania kodów weryfikacyjnych w połączeniu z brakiem ograniczenia liczby prób. Umożliwia to nieuwierzytelnionemu atakującemu przeprowadzenie ataku brute-force i przejęcie konta ofiary.
▸ Pokaż oryginał (EN)
An issue was discovered in weijiang1994 university-bbs (aka Blogin) in commit 9e06bab430bfc729f27b4284ba7570db3b11ce84 (2025-01-13). A weak verification code generation mechanism combined with missing rate limiting allows attackers to perform brute-force attacks on verification codes without authentication. Successful exploitation may result in account takeover via password reset or other authentication bypass methods.
Mechanizm generowania kodów weryfikacyjnych jest przewidywalny lub zbyt krótki, co sprawia, że przestrzeń możliwych wartości jest ograniczona. Brak jakiegokolwiek rate limiting (ograniczenia częstotliwości zapytań) pozwala atakującemu na automatyczne, masowe wysyłanie prób odgadnięcia kodu bez żadnych blokad. Po odgadnięciu kodu weryfikacyjnego atakujący może zresetować hasło do wybranego konta lub ominąć inny mechanizm uwierzytelniania (authentication bypass). Atak nie wymaga żadnych uprawnień ani interakcji ze strony użytkownika.
Atakujący może przejąć kontrolę nad dowolnym kontem użytkownika poprzez reset hasła lub inną metodę obejścia uwierzytelniania, uzyskując pełny dostęp do danych i funkcji konta ofiary.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się również niezwłoczne wdrożenie rate limiting na endpointach obsługujących weryfikację kodów oraz zastosowanie kryptograficznie bezpiecznego generatora kodów weryfikacyjnych o wystarczającej długości i entropii.
Aplikacja weijiang1994 university-bbs (2Dogz Blogin) w wersji zawierającej commit 9e06bab430bfc729f27b4284ba7570db3b11ce84 z dnia 2025-01-13
Podatność dotyczy konkretnego commitu 9e06bab430bfc729f27b4284ba7570db3b11ce84 opublikowanego 2025-01-13. Dostępny jest publiczny proof-of-concept opublikowany w serwisie GitHub Gist (autor: Rycarl-Furry).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H2dogz Blogin
APP2Dogz≤ 2024-11-09