Moduł Mail Login dla Drupal nie ogranicza prawidłowo liczby prób uwierzytelnienia, co umożliwia ataki brute force. Podatność uzyskała ocenę CVSS 9.8 (CRITICAL), co czyni ją poważnym zagrożeniem dla każdej witryny opartej na Drupalu korzystającej z tego modułu.
▸ Pokaż oryginał (EN)
Improper Restriction of Excessive Authentication Attempts vulnerability in Drupal Mail Login allows Brute Force.This issue affects Mail Login: from 3.0.0 before 3.2.0, from 4.0.0 before 4.2.0.
Podatność sklasyfikowana jako CWE-307 polega na braku właściwego mechanizmu blokowania lub ograniczania kolejnych prób logowania po określonej liczbie nieudanych uwierzytelnień. Atakujący może bez przeszkód wysyłać nieograniczoną liczbę żądań logowania przez sieć (wektor AV:N), bez konieczności posiadania jakichkolwiek uprawnień i bez interakcji użytkownika. Pozwala to na automatyczne i masowe testowanie kombinacji haseł w celu przejęcia konta użytkownika.
Skuteczny atak brute force może doprowadzić do przejęcia kont użytkowników, w tym kont administracyjnych, co skutkuje pełną utratą poufności, integralności i dostępności aplikacji.
Należy zaktualizować moduł Mail Login do wersji 3.2.0 lub wyższej (dla gałęzi 3.x) albo do wersji 4.2.0 lub wyższej (dla gałęzi 4.x). Szczegóły dostępne w komunikacie bezpieczeństwa Drupal: https://www.drupal.org/sa-contrib-2025-088
Moduł Mqanneh Mail Login dla Drupal w wersjach od 3.0.0 do 3.2.0 (z wyłączeniem) oraz od 4.0.0 do 4.2.0 (z wyłączeniem).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HMqanneh Mail Login
APPMqanneh3.0.0 – 3.2.0 (bez)4.0.0 – 4.2.0 (bez)