Vulnerabilidad en la longitud de la respuesta de la API en CyberArk Identity (CVE-2021-37151)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

01/09/2021

Última modificación:

07/11/2023

Descripción

CyberArk Identity versión 21.5.131, cuando maneja un intento de autenticación no válido, a veces revela si el nombre de usuario es válido. En determinadas configuraciones de políticas de autenticación con MFA, la longitud de la respuesta de la API puede ser usada para diferenciar entre un usuario válido y uno no válido (también se conoce como Enumeración de Nombres de Usuario). La diferenciación de la respuesta permite a atacantes enumerar los nombres de usuario de los usuarios válidos de la aplicación. Los atacantes pueden usar esta información para aprovechar los ataques de fuerza bruta y de diccionario con el fin de detectar información válida de la cuenta, como las contraseñas

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

5.30

Gravedad 3.x

MEDIA

Vector 2.0

AV:N/AC:L/Au:N/C:P/I:N/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.00 MEDIA
Vector: AV:N/AC:L/Au:N/C:P/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno