Katalog CVE
CVE-2024-55374
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzyko0.24%
Percentyl 15 - wyżej niż 15% wszystkich znanych CVE
Streszczenie
Podatność w REDCap 14.3.13 umożliwia atakującemu enumerację nazw użytkowników poprzez obserwowalną różnicę w odpowiedziach na próby logowania.
Ocena ryzyka
Atakujący może zebrać listę prawidłowych nazw użytkowników, co ułatwia przeprowadzenie ataków siłowych lub socjotechnicznych na system.
Rekomendacja
Zaleca się aktualizację REDCap do najnowszej wersji oraz wdrożenie jednolitych komunikatów błędów logowania, aby uniemożliwić rozróżnienie między istniejącymi a nieistniejącymi użytkownikami.
Oryginalny opis (angielski, źródło NVD)
REDCap 14.3.13 allows an attacker to enumerate usernames due to an observable discrepancy between login attempts.

