Vulnerabilidad en Best Practical Solutions RT (CVE-2011-1007)
Gravedad CVSS v2.0:
BAJA
Tipo:
CWE-255
Gestión de credenciales
Fecha de publicación:
28/02/2011
Última modificación:
11/04/2025
Descripción
Best Practical Solutions RT anterior a v3.8.9 no desarrolla ciertas redirecciones en el login, lo que permite a atacantes próximos físicamente obtener credenciales reenviando el formulario de registro a través del botón back en un buscador web en una máquina de trabajo no atendidad después de un cierre de sesión RT.
Impacto
Puntuación base 2.0
2.10
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:bestpractical:rt:*:rc3:*:*:*:*:*:* | 3.8.9 (incluyendo) | |
| cpe:2.3:a:bestpractical:rt:1.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:bestpractical:rt:1.0.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:bestpractical:rt:1.0.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:bestpractical:rt:1.0.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:bestpractical:rt:1.0.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:bestpractical:rt:1.0.5:*:*:*:*:*:*:* | ||
| cpe:2.3:a:bestpractical:rt:1.0.6:*:*:*:*:*:*:* | ||
| cpe:2.3:a:bestpractical:rt:1.0.7:*:*:*:*:*:*:* | ||
| cpe:2.3:a:bestpractical:rt:2.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:bestpractical:rt:2.0.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:bestpractical:rt:2.0.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:bestpractical:rt:2.0.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:bestpractical:rt:2.0.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:bestpractical:rt:2.0.5:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=614575
- http://issues.bestpractical.com/Ticket/Display.html?id=15804
- http://lists.bestpractical.com/pipermail/rt-announce/2011-February/000186.html
- http://openwall.com/lists/oss-security/2011/02/22/12
- http://openwall.com/lists/oss-security/2011/02/22/16
- http://openwall.com/lists/oss-security/2011/02/22/6
- http://openwall.com/lists/oss-security/2011/02/23/22
- http://openwall.com/lists/oss-security/2011/02/24/7
- http://openwall.com/lists/oss-security/2011/02/24/8
- http://openwall.com/lists/oss-security/2011/02/24/9
- http://osvdb.org/71012
- http://secunia.com/advisories/43438
- http://www.vupen.com/english/advisories/2011/0475
- https://exchange.xforce.ibmcloud.com/vulnerabilities/65771
- https://github.com/bestpractical/rt/commit/057552287159e801535e59b8fbd5bd98d1322069
- https://github.com/bestpractical/rt/commit/917c211820590950f7eb0521f7f43b31aeed44c4
- https://lists.apache.org/thread.html/rf9fa47ab66495c78bb4120b0754dd9531ca2ff0430f6685ac9b07772%40%3Cdev.mina.apache.org%3E
- http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=614575
- http://issues.bestpractical.com/Ticket/Display.html?id=15804
- http://lists.bestpractical.com/pipermail/rt-announce/2011-February/000186.html
- http://openwall.com/lists/oss-security/2011/02/22/12
- http://openwall.com/lists/oss-security/2011/02/22/16
- http://openwall.com/lists/oss-security/2011/02/22/6
- http://openwall.com/lists/oss-security/2011/02/23/22
- http://openwall.com/lists/oss-security/2011/02/24/7
- http://openwall.com/lists/oss-security/2011/02/24/8
- http://openwall.com/lists/oss-security/2011/02/24/9
- http://osvdb.org/71012
- http://secunia.com/advisories/43438
- http://www.vupen.com/english/advisories/2011/0475
- https://exchange.xforce.ibmcloud.com/vulnerabilities/65771
- https://github.com/bestpractical/rt/commit/057552287159e801535e59b8fbd5bd98d1322069
- https://github.com/bestpractical/rt/commit/917c211820590950f7eb0521f7f43b31aeed44c4
- https://lists.apache.org/thread.html/rf9fa47ab66495c78bb4120b0754dd9531ca2ff0430f6685ac9b07772%40%3Cdev.mina.apache.org%3E