Vulnerabilidad en CraftCMS (CVE-2024-5657)
Severidad:
ALTA
Type:
CWE-522
Credenciales insuficientemente protegidas
Fecha de publicación:
06/06/2024
Última modificación:
11/06/2024
Descripción
El complemento CraftCMS Autenticación de dos factores en las versiones 3.3.1, 3.3.2 y 3.3.3 revela el hash de contraseña del usuario actualmente autenticado después de enviar un TOTP válido.
Impacto
Puntuación base 3.x
8.10
Severidad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:born05:two-factor_authentication:*:*:*:*:*:craftcms:*:* | 3.3.1 (incluyendo) | 3.3.4 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2024/06/06/1
- https://github.com/born05/craft-twofactorauthentication/releases/tag/3.3.4
- https://github.com/sbaresearch/advisories/tree/public/2024/SBA-ADV-20240202-01_CraftCMS_Plugin_Two-Factor_Authentication_Password_Hash_Disclosure
- https://plugins.craftcms.com/two-factor-authentication?craft4=