Vulnerabilidad en Mautic (CVE-2024-47057)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

28/05/2025

Última modificación:

29/05/2025

Descripción

Resumen: Este aviso aborda una vulnerabilidad de seguridad en Mautic relacionada con la función "Olvida tu contraseña". Esta vulnerabilidad podría ser explotada por usuarios no autenticados para enumerar nombres de usuario válidos. Enumeración de usuarios mediante un ataque de tiempo: Existe una vulnerabilidad de enumeración de usuarios en la función "Olvida tu contraseña". Las diferencias en los tiempos de respuesta entre usuarios existentes y no existentes, junto con la falta de limitación de solicitudes, permiten a un atacante determinar la existencia de nombres de usuario mediante un ataque de tiempo. Mitigación: Actualice a una versión que aborde esta vulnerabilidad de tiempo, donde las respuestas de restablecimiento de contraseña se normalizan para responder simultáneamente, independientemente de la existencia del usuario.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

5.30

Gravedad 3.x

MEDIA

Referencias a soluciones, herramientas e información

https://github.com/mautic/mautic/security/advisories/GHSA-424x-cxvh-wq9p