Katalog CVE

CVE-2018-25350

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

userSpice w wersji 4.3.24 zawiera podatność na enumerację nazw użytkowników, która pozwala nieautoryzowanym atakującym na odkrywanie ważnych nazw użytkowników poprzez wysyłanie żądań POST do punktu końcowego existingUsernameCheck.php.

Ocena ryzyka

Atakujący mogą zidentyfikować istniejące konta w systemie, co może prowadzić do dalszych ataków, takich jak próby włamań czy phishing.

Rekomendacja

Zaleca się zablokowanie dostępu do punktu końcowego existingUsernameCheck.php dla nieautoryzowanych użytkowników oraz wdrożenie dodatkowych mechanizmów zabezpieczeń.

Oryginalny opis (angielski, źródło NVD)

userSpice 4.3.24 contains a username enumeration vulnerability that allows unauthenticated attackers to discover valid usernames by sending POST requests to the existingUsernameCheck.php endpoint. Attackers can submit usernames and analyze response text for the 'taken' string to identify existing accounts in the system.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS