Vulnerabilidad en ZITADEL (CVE-2023-47111)

Gravedad CVSS v3.1:

BAJA

Tipo:

CWE-362 Ejecución concurrente utilizando recursos compartidos con una incorrecta sincronización (Condición de carrera)

Fecha de publicación:

08/11/2023

Última modificación:

16/11/2023

Descripción

ZITADEL proporciona infraestructura de identidad. ZITADEL brinda a los administradores la posibilidad de definir una "Política de bloqueo" con una cantidad máxima de intentos fallidos de verificación de contraseña. En cada verificación de contraseña fallida, la cantidad de comprobaciones fallidas se compara con el máximo configurado. Exceder el límite bloqueará al usuario y evitará una mayor autenticación. En la implementación afectada, un atacante podía iniciar múltiples comprobaciones de contraseñas en paralelo, dándole la posibilidad de probar más combinaciones de las configuradas en la "Política de bloqueo". Esta vulnerabilidad ha sido parcheada en las versiones 2.40.5 y 2.38.3.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 3.70 BAJA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Bajo

Puntuación base 3.x

3.70

Gravedad 3.x

BAJA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:zitadel:zitadel::::::::		2.38.3 (excluyendo)
cpe:2.3:a:zitadel:zitadel::::::::	2.39.0 (incluyendo)	2.40.5 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Vulnerabilidad en ZITADEL (CVE-2023-47111)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información