Vulnerabilidad en Snyk (CVE-2024-21500)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
17/02/2024
Última modificación:
03/04/2025
Descripción
Todas las versiones del paquete github.com/greenpau/caddy-security son vulnerables a una restricción inadecuada de intentos de autenticación excesivos a través de la autenticación de dos factores (2FA). Aunque la aplicación bloquea al usuario después de varios intentos fallidos de proporcionar códigos 2FA, los atacantes pueden evitar este mecanismo de bloqueo automatizando todo el proceso 2FA de varios pasos de la aplicación.
Impacto
Puntuación base 3.x
4.80
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:authcrunch:caddy-security:*:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://blog.trailofbits.com/2023/09/18/security-flaws-in-an-sso-plugin-for-caddy/
- https://github.com/greenpau/caddy-security/issues/271
- https://security.snyk.io/vuln/SNYK-GOLANG-GITHUBCOMGREENPAUCADDYSECURITY-6249864
- https://blog.trailofbits.com/2023/09/18/security-flaws-in-an-sso-plugin-for-caddy/
- https://github.com/greenpau/caddy-security/issues/271
- https://security.snyk.io/vuln/SNYK-GOLANG-GITHUBCOMGREENPAUCADDYSECURITY-6249864