Vulnerabilidad en los tiempos de respuesta HTTP en la plataforma PlexTrac (CVE-2022-37146)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

08/09/2022

Última modificación:

08/08/2023

Descripción

La plataforma PlexTrac versiones anteriores a 1.28.0 permite la enumeración de nombres de usuario por medio de tiempos de respuesta HTTP en intentos de inicio de sesión no válidos para usuarios configurados para usar el proveedor de autenticación PlexTrac.&#xa0;Los intentos de inicio de sesión para usuarios desbloqueados válidos configurados para usar PlexTrac como su proveedor de autenticación tardan mucho más que los de usuarios no válidos, lo que permite a un atacante remoto no autenticado enumerar a usuarios válidos.&#xa0;Tenga en cuenta que la política de bloqueo implementada en Plextract versión 1.17.0 hace que sea imposible distinguir entre cuentas de usuario válidas bloqueadas y cuentas de usuario que no existen, pero no impide que se enumeren usuarios válidos desbloqueados

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno