Aplikacja mobilna Pause+ (Başbelen Group) nie ogranicza prawidłowo liczby prób logowania, co umożliwia obejście mechanizmu uwierzytelnienia. Podatność otrzymała ocenę CVSS 9.8 (CRITICAL) i może być wykorzystana zdalnie bez żadnych uprawnień.
▸ Pokaż oryginał (EN)
Improper restriction of excessive authentication attempts vulnerability in Başbelen Group Food Cafe Businesses Industry and Trade Ltd. Co. Pause+ Mobile App allows Authentication Bypass. This issue affects Pause+ Mobile App: from v1.0.6 before v1.5.
Błąd sklasyfikowany jako CWE-307 polega na braku właściwego ograniczenia nadmiernej liczby prób uwierzytelnienia (Improper Restriction of Excessive Authentication Attempts). Atakujący może wielokrotnie wysyłać żądania logowania bez blokady konta, limitu czasowego ani mechanizmu CAPTCHA, co pozwala na przeprowadzenie ataku brute-force lub credential stuffing. W rezultacie możliwe jest odgadnięcie lub ominięcie poświadczeń i uzyskanie nieautoryzowanego dostępu do konta użytkownika.
Atakujący może uzyskać nieautoryzowany dostęp do kont użytkowników aplikacji, co prowadzi do naruszenia poufności, integralności i dostępności danych. Pełna kompromitacja konta jest możliwa bez jakiejkolwiek interakcji po stronie ofiary.
Należy zaktualizować aplikację Pause+ Mobile App do wersji v1.5 lub nowszej. Szczegółowe informacje dostępne są w biuletynie bezpieczeństwa producenta pod adresem: https://siberguvenlik.gov.tr/guvenlik-bildirimleri/detay/tr-26-0368
Pause+ Mobile App w wersjach od v1.0.6 do (nie włącznie) v1.5 — producent: Başbelen Group Food Cafe Businesses Industry and Trade Ltd. Co.
Podatność zgłoszona przez tureckie centrum cyberbezpieczeństwa (siberguvenlik.gov.tr) pod identyfikatorem TR-26-0368. Data publikacji: 2026-06-12.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H