Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en wfo/control/signin en el parámetro rd en Verint Impact 360 (CVE-2019-12783)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-601 Redireccionamiento de URL a sitio no confiable (Open Redirect)
Fecha de publicación:
14/07/2020
Última modificación:
16/07/2020

Descripción

Se detectó un problema en Verint Impact 360 versión 15.1. En wfo/control/signin, el parámetro rd puede aceptar una URL, a la cual los usuarios serán redireccionados después de un inicio de sesión con éxito. En conjunto con CVE-2019-12784, los atacantes pueden usar esto para intentos de inicio de sesión de fuerza bruta de tipo "crowdsource" en el sitio objetivo, lo que les permite adivinar y comprometer potencialmente las credenciales válidas sin enviar ningún tráfico desde su propia máquina hacia el sitio objetivo

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:verint:impact_360:15.1:*:*:*:*:*:*:*