Katalog CVE

CVE-2024-24769

NiskieCVSS 2.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.28%

Percentyl 19 — wyżej niż 19% wszystkich znanych CVE

Streszczenie

W wersjach przed 5.0.0, użytkownicy mogą resetować swoje tokeny MFA za pomocą tras API, które wysyłają im e-maile. Liczba wysyłanych e-maili nie jest ograniczona, co pozwala atakującym na zalewanie skrzynek pocztowych użytkowników.

Ocena ryzyka

Atakujący mogą wykorzystać tę podatność do przeciążenia serwera SMTP, co może skutkować jego postrzeganiem jako źródła spamu. Potencjalny wpływ jest jednak niski, ponieważ resetowanie tokena MFA wymaga poprawnego hasła.

Rekomendacja

Zaleca się aktualizację do wersji 5.0.0, która naprawia tę podatność. Brak znanych obejść.

Oryginalny opis (angielski, źródło NVD)

vantage6 is an open-source infrastructure for privacy preserving analysis. Prior to version 5.0.0, users can reset their MFA token via API routes that send them an email. Currently the number of emails that is sent is not limited. This gives attackers the option to flood someones mailbox with a lot of emails, and would have adverse effects on the SMTP server which may be seen as spam sender. Note resetting the MFA token requires a correct password, so the potential impact for this is very low. Version 5.0.0 fixes the issue. No known workarounds are available.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS