Vulnerabilidad en los tokens en la funcionalidad de restablecimiento de contraseña en Anuko Time Tracker (CVE-2021-21352)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-330 Uso de valores insuficientemente aleatorios

Fecha de publicación:

03/03/2021

Última modificación:

09/03/2021

Descripción

Anuko Time Tracker es una aplicación de seguimiento de tiempo de código abierto basada en la web escrita en PHP.&#xa0;En TimeTracker anterior a la versión 1.19.24.5415, los tokens usados en la funcionalidad de restablecimiento de contraseña en Time Tracker se basan en la hora del sistema y, por lo tanto, son predecibles.&#xa0;Esto abre una ventana para que los ataques de fuerza bruta adivinen los tokens de los usuarios y, una vez exitosos, cambien las contraseñas de los usuarios, incluyendo la de un administrador del sistema.&#xa0;Esta vulnerabilidad es parcheada en la versión 1.19.24.5415 (comenzó a usar tokens más seguros) con una mejora adicional en la versión 1.19.24.5416 (una ventana disponible limitada para adivinar tokens por fuerza bruta)

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.10 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

9.10

Gravedad 3.x

CRÍTICA

Vector 2.0

AV:N/AC:L/Au:N/C:N/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.00 MEDIA
Vector: AV:N/AC:L/Au:N/C:N/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno