CVEbaza.plSłownik CWECWE-307
Common Weakness Enumeration

CWE-307

Improper Restriction of Excessive Authentication Attempts

Kategoria: BaseCVE: 713
Opis

Produkt nie implementuje wystarczających mechanizmów zapobiegających wielokrotnym nieudanym próbom uwierzytelnienia w krótkim okresie czasu. Brak takiej ochrony umożliwia ataki brute-force i słownikowe na konta użytkowników.

Description (EN)

The product does not implement sufficient measures to prevent multiple failed authentication attempts within a short time frame.

Podatności CVE z CWE-307 (713)
9.8
CVSS
CRITICAL
CVE-2026-6853

Aplikacja mobilna Pause+ (Başbelen Group) nie ogranicza prawidłowo liczby prób logowania, co umożliwia obejście mechanizmu uwierzytelnienia. Podatność otrzymała ocenę CVSS 9.8 (CRITICAL) i może być wykorzystana zdalnie bez żadnych uprawnień.

pub. 2026-06-12
9.8
CVSS
CRITICAL
CVE-2026-8760

Plugin Login with OTP dla WordPress w wersjach do 1.6 włącznie zawiera podatność umożliwiającą ominięcie uwierzytelnienia poprzez brute-force jednorazowego kodu OTP. Luka stanowi niekompletną naprawę wcześniejszej podatności CVE-2024-11178 i może prowadzić do pełnego przejęcia kontroli nad stroną.

pub. 2026-05-27
9.8
CVSS
CRITICAL
CVE-2025-63807

W aplikacji 2Dogz Blogin (projekt university-bbs) odkryto krytyczną podatność polegającą na słabym mechanizmie generowania kodów weryfikacyjnych w połączeniu z brakiem ograniczenia liczby prób. Umożliwia to nieuwierzytelnionemu atakującemu przeprowadzenie ataku brute-force i przejęcie konta ofiary.

pub. 2025-11-20
9.8
CVSS
CRITICAL
CVE-2025-56221

Podatność w SigningHub v8.6.8 polega na braku ograniczenia liczby prób logowania, co umożliwia atakującemu przeprowadzenie ataku brute force i ominięcie uwierzytelnienia. Ze względu na brak wymagań co do uprawnień czy interakcji użytkownika, podatność jest szczególnie niebezpieczna dla systemów dostępnych przez internet.

pub. 2025-10-17
9.8
CVSS
CRITICAL
CVE-2025-1740

Akinsoft MyRezzta zawiera podatność CWE-307 polegającą na braku właściwego ograniczenia liczby prób uwierzytelnienia. Umożliwia to atakującemu przeprowadzenie ataku brute force, ominięcie mechanizmów logowania oraz nadużycie funkcji odzyskiwania hasła.

pub. 2025-09-03
9.8
CVSS
CRITICAL
CVE-2025-7393

Moduł Mail Login dla Drupal nie ogranicza prawidłowo liczby prób uwierzytelnienia, co umożliwia ataki brute force. Podatność uzyskała ocenę CVSS 9.8 (CRITICAL), co czyni ją poważnym zagrożeniem dla każdej witryny opartej na Drupalu korzystającej z tego modułu.

pub. 2025-07-21
9.8
CVSS
CRITICAL
CVE-2025-3709

Aplikacja Agentflow firmy Flowring Technology zawiera podatność typu Account Lockout Bypass (CWE-307), która pozwala nieuwierzytelnionemu atakującemu zdalnie przeprowadzić atak brute force na hasła użytkowników. Podatność uzyskała ocenę CVSS 9.8 (CRITICAL), co czyni ją poważnym zagrożeniem dla bezpieczeństwa kont w systemie.

pub. 2025-05-02
9.8
CVSS
CRITICAL
CVE-2025-25595

Aplikacja Safe App w wersji a3.0.9 (IITB) nie implementuje mechanizmu ograniczania liczby prób logowania, co umożliwia atakującemu przeprowadzenie ataku brute force i obejście uwierzytelnienia. Podatność jest krytyczna ze względu na brak jakichkolwiek wymagań wstępnych do jej wykorzystania.

pub. 2025-03-18
9.8
CVSS
CRITICAL
CVE-2024-46442

System multimedialny BYD Dilink w wersjach v3.0–v4.0 nie ogranicza liczby prób logowania, co umożliwia atakującemu ominięcie uwierzytelniania przez atak bruteforce. Podatność uzyskała ocenę CVSS 9.8 (krytyczna) i może być wykorzystana zdalnie bez jakichkolwiek uprawnień.

pub. 2024-12-10
9.8
CVSS
CRITICAL
CVE-2024-5716

Podatność w mechanizmie resetowania hasła platformy Logsign Unified SecOps Platform umożliwia zdalnym atakującym pominięcie uwierzytelnienia bez jakichkolwiek uprawnień. Uzyskanie nieautoryzowanego dostępu do systemu SIEM/SecOps stanowi krytyczne zagrożenie dla całej infrastruktury bezpieczeństwa organizacji.

pub. 2024-11-22
9.8
CVSS
CRITICAL
CVE-2024-41276

Podatność w aplikacji Kaiten (wersja 57.131.12 i wcześniejsze) umożliwia atakującym obejście mechanizmu uwierzytelniania 6-cyfrowym kodem PIN wysyłanym na e-mail. Luka pozwala na nieograniczone zgadywanie kodu PIN metodą brute force, co prowadzi do nieautoryzowanego dostępu do aplikacji.

pub. 2024-10-01
9.8
CVSS
CRITICAL
CVE-2024-43042

Pluck CMS w wersji 4.7.18 nie ogranicza liczby nieudanych prób logowania, co umożliwia przeprowadzenie ataku brute force. Brak mechanizmu blokady konta lub rate limiting sprawia, że atakujący może bez przeszkód zgadywać hasła do panelu administracyjnego.

pub. 2024-08-16
9.8
CVSS
CRITICAL
CVE-2024-39225

W oprogramowaniu firmware wielu routerów GL-iNet odkryto krytyczną podatność umożliwiającą zdalne wykonanie kodu (RCE). Błąd jest szczególnie groźny, ponieważ nie wymaga uwierzytelnienia ani interakcji użytkownika.

pub. 2024-08-06
9.8
CVSS
CRITICAL
CVE-2024-2051

Podatność CWE-307 w produkcie Schneider Electric umożliwia atakującemu przeprowadzenie ataku brute-force na formularz logowania bez żadnych ograniczeń liczby prób. W wyniku skutecznego ataku możliwe jest przejęcie konta i nieautoryzowany dostęp do systemu.

pub. 2024-03-18
9.8
CVSS
CRITICAL
CVE-2024-21652

Podatność w Argo CD umożliwia atakującemu ominięcie mechanizmu ochrony przed atakami brute force na logowanie poprzez wykorzystanie łańcucha luk, w tym błędu DoS i słabości przechowywania danych w pamięci. Jest to krytyczne zagrożenie, gdyż naraża konta użytkowników na nieograniczoną liczbę prób logowania oraz umożliwia wyłączenie usługi dla wszystkich użytkowników.

pub. 2024-03-18
9.8
CVSS
CRITICAL
CVE-2023-33759

SpliceCom Maximiser Soft PBX w wersji 1.5 i wcześniejszych nie ogranicza liczby prób logowania, co umożliwia atakującemu ominięcie uwierzytelnienia metodą brute force. Podatność otrzymała ocenę CVSS 9.8 (CRITICAL) i nie wymaga żadnych uprawnień ani interakcji użytkownika.

pub. 2024-01-25
9.8
CVSS
CRITICAL
CVE-2023-6928

Urządzenia EuroTel ETL3100 w wersjach v01c01 i v01x37 nie ograniczają liczby prób zgadnięcia danych uwierzytelniających administratora, co pozwala atakującemu na przeprowadzenie zdalnego ataku brute-force. Podatność jest krytyczna, ponieważ jej skuteczne wykorzystanie daje pełną kontrolę nad systemem bez żadnego uwierzytelnienia.

pub. 2023-12-19
9.8
CVSS
CRITICAL
CVE-2023-6272

Plugin Theme My Login 2FA dla WordPress w wersjach przed 1.2 nie ogranicza liczby prób weryfikacji kodu dwuskładnikowego (2FA), co umożliwia przeprowadzenie ataku brute-force. Jest to szczególnie groźne, ponieważ kody 2FA składają się jedynie z 6 cyfr, co oznacza zaledwie milion możliwych kombinacji.

pub. 2023-12-18
9.8
CVSS
CRITICAL
CVE-2023-49443

DoraCMS v2.1.8 wykorzystuje ten sam kod weryfikacyjny dla walidacji nazw użytkowników i haseł, co umożliwia przeprowadzenie skutecznego ataku brute-force. Brak odpowiednich mechanizmów ograniczających liczbę prób logowania pozwala atakującemu na nieuprawniony dostęp do aplikacji.

pub. 2023-12-08
9.8
CVSS
CRITICAL
CVE-2023-35039

Plugin 'Password Reset with Code for WordPress REST API' w wersji do 0.0.15 włącznie nie ogranicza liczby prób uwierzytelnienia podczas resetowania hasła, co pozwala atakującemu na nadużycie mechanizmu autoryzacji. Podatność uzyskała krytyczny wynik CVSS 9.8, co wskazuje na poważne zagrożenie dla bezpieczeństwa witryn WordPress.

pub. 2023-12-07
Pokazano 20 z 713 podatności
Informacje
ID: CWE-307
Typ: Base
Podatności: 713
MITRE CWE ↗
← Słownik CWE