Vulnerabilidad en el archivo mfa/FIDO2.py en django-mfa2 (CVE-2022-42731)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
11/10/2022
Última modificación:
20/05/2025
Descripción
El archivo mfa/FIDO2.py en django-mfa2 versiones anteriores a 2.5.1 y 2.6.x anteriores a 2.6.1, permite un ataque de repetición que podría ser usado para registrar otro dispositivo para un usuario. El desafío de registro del dispositivo no es invalidado después de su uso
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:django-mfa2_project:django-mfa2:*:*:*:*:*:*:*:* | 2.5.1 (excluyendo) | |
| cpe:2.3:a:django-mfa2_project:django-mfa2:*:*:*:*:*:*:*:* | 2.6.0 (incluyendo) | 2.6.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/mkalioby/django-mfa2/blob/0936ea253354dd95cb127f09d0efa31324caef27/mfa/FIDO2.py#L58
- https://github.com/mkalioby/django-mfa2/releases/tag/v2.5.1-release
- https://github.com/mkalioby/django-mfa2/releases/tag/v2.6.1-release
- https://github.com/mkalioby/django-mfa2/blob/0936ea253354dd95cb127f09d0efa31324caef27/mfa/FIDO2.py#L58
- https://github.com/mkalioby/django-mfa2/releases/tag/v2.5.1-release
- https://github.com/mkalioby/django-mfa2/releases/tag/v2.6.1-release