Vulnerabilidad en las credenciales de inicio de sesión de usuarios en Fisheye y Crucible (CVE-2021-43958)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

16/03/2022

Última modificación:

07/10/2024

Descripción

Varios recursos de reposo en Fisheye y Crucible versiones anteriores a 4.8.9 permitían a atacantes remotos forzar las credenciales de inicio de sesión de usuarios, ya que los recursos de reposo no comprobaban si los usuarios estaban más allá de sus límites máximos de inicio de sesión fallido y, por lo tanto, requerían resolver un CAPTCHA además de proporcionar las credenciales de usuario para la autenticación por medio de una vulnerabilidad de restricción inapropiada del exceso de intentos de autenticación

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.80

Gravedad 3.x

CRÍTICA

Vector 2.0

AV:N/AC:L/Au:N/C:P/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: AV:N/AC:L/Au:N/C:P/I:P/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico