Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la aplicación móvil OKLOK para Fingerprint Bluetooth Padlock FB50. (CVE-2020-10876)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
04/05/2020
Última modificación:
15/05/2020

Descripción

La aplicación móvil complementaria OKLOK (versión 3.1.1) para Fingerprint Bluetooth Padlock FB50 (versión 2.3), no implementa correctamente su tiempo de espera en el código de verificación de cuatro dígitos que se requiere para restablecer las contraseñas, ni restringe apropiadamente los intentos de verificación excesiva. Esto permite a un atacante forzar bruscamente el código de verificación de cuatro dígitos para omitir la verificación de correo electrónico y cambiar la contraseña de una cuenta víctima.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:oklok_project:oklok:3.1.1:*:*:*:*:iphone_os:*:*
cpe:2.3:h:mica:fingerprint_bluetooth_padlock_fb50:-:*:*:*:*:*:*:*