Vulnerabilidad en un código de activación en para restablecimiento de contraseña en Navigate CMS (CVE-2020-14015)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-640
Mecanismo débil para recuperación de contraseñas olvidadas
Fecha de publicación:
24/06/2020
Última modificación:
29/06/2020
Descripción
Se detectó un problema en Navigate CMS versión 2.9 r1433. Al realizar un restablecimiento de contraseña, un usuario recibe un correo electrónico con un código de activación que le permite restablecer su contraseña. Sin embargo, se presenta un fallo cuando no se suministra un código de activación. El sistema permitirá a un usuario no autorizado continuar configurando una contraseña, a pesar de que no se proporcionó un código de activación, configurando la contraseña para el usuario creado más recientemente en el sistema (el usuario con el id de usuario más alta)
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:naviwebs:navigate_cms:2.9:r1433:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página