Vulnerabilidad en Tinfoil Devise-two-factor (CVE-2015-7225)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-254
Características de seguridad
Fecha de publicación:
06/09/2017
Última modificación:
20/04/2025
Descripción
Tinfoil Devise-two-factor, en versiones anteriores a la 2.0.0, no sigue de manera estricta la sección 5.2 de la norma RFC 6238 y no "consume" una contraseña de un solo uso (también llamada OTP) correctamente validada. Esto permite que atacantes remotos o que se encuentren físicamente cerca inicien sesión como un usuario utilizando sus credenciales de acceso. Esto se llevaría a cabo realizando un ataque Man-in-the-Middle (MitM) entre el proveedor y el verificador u observando físicamente (lo que se conoce como shoulder surfing) y repitiendo la contraseña OTP en el intervalo de tiempo actual.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
3.50
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:tinfoilsecurity:devise-two-factor:*:*:*:*:*:*:*:* | 1.1.0 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2015/06/20/4
- http://www.openwall.com/lists/oss-security/2015/09/17/2
- http://www.securityfocus.com/bid/76789
- https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=798466
- https://github.com/tinfoil/devise-two-factor/blob/master/UPGRADING.md
- https://github.com/tinfoil/devise-two-factor/issues/45#issuecomment-139335608
- http://www.openwall.com/lists/oss-security/2015/06/20/4
- http://www.openwall.com/lists/oss-security/2015/09/17/2
- http://www.securityfocus.com/bid/76789
- https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=798466
- https://github.com/tinfoil/devise-two-factor/blob/master/UPGRADING.md
- https://github.com/tinfoil/devise-two-factor/issues/45#issuecomment-139335608