CVE-2025-12866
CriticalSummary
EIP Plus opracowany przez Hundred Plus ma podatność na słaby mechanizm odzyskiwania hasła, co pozwala nieautoryzowanemu zdalnemu atakującemu przewidzieć lub przeprowadzić atak brute-force na link 'zapomniałem hasła', co umożliwia skuteczne zresetowanie hasła dowolnego użytkownika.
Risk Assessment
Podatność ta stwarza ryzyko nieautoryzowanego dostępu do kont użytkowników, co może prowadzić do utraty danych lub naruszenia prywatności. Organizacje mogą być narażone na ataki, które mogą wpłynąć na ich reputację i zaufanie klientów.
Recommendation
Zaleca się wdrożenie silniejszych mechanizmów odzyskiwania hasła, takich jak weryfikacja tożsamości użytkownika przed umożliwieniem resetowania hasła. Należy również monitorować i analizować próby nieautoryzowanego dostępu.
Original NVD description (English source)
EIP Plus developed by Hundred Plus has a Weak Password Recovery Mechanism vulnerability, allowing unauthenticated remote attacker to predict or brute-force the 'forgot password' link, thereby successfully resetting any user's password.

