SOGo w wersjach przed 5.12.5 nie regeneruje OTP, gdy użytkownik je wyłącza lub włącza, a dodatkowo OTP ma zbyt krótką długość (tylko 12 cyfr zamiast rekomendowanych 20). To może umożliwić atakującemu przywrócenie dostępu do starych kodów jednorazowych.
▸ Pokaż oryginał (EN)
SOGo before 5.12.5 does not renew the OTP if a user disables/enables it, and has a too short length (only 12 digits instead of the 20 recommended).
CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:U/C:N/I:L/A:NAlinto Sogo
APPAlinto< 5.12.5
Powiązane podatności
Cross-site request forgery (CSRF) vulnerability in SOGo before 3.1.0.
SOGo before 5.12.5 is prone to a XSS vulnerability with events, tasks, and contacts categories.
Alinto Sogo 5.12.3 is vulnerable to Cross Site Scripting (XSS) via the theme parameter.
alinto SOGo 5.12.3 is vulnerable to Cross Site Scripting (XSS) via the "userName" parameter.
Cross Site Scripting vulnerability in Alinto SOGo before 5.10.0 allows a remote attacker to execute arbitrary ...