Katalog CVE

CVE-2024-55374

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.24%

Percentyl 15 - wyżej niż 15% wszystkich znanych CVE

Streszczenie

Podatność w REDCap 14.3.13 umożliwia atakującemu enumerację nazw użytkowników poprzez obserwowalną różnicę w odpowiedziach na próby logowania.

Ocena ryzyka

Atakujący może zebrać listę prawidłowych nazw użytkowników, co ułatwia przeprowadzenie ataków siłowych lub socjotechnicznych na system.

Rekomendacja

Zaleca się aktualizację REDCap do najnowszej wersji oraz wdrożenie jednolitych komunikatów błędów logowania, aby uniemożliwić rozróżnienie między istniejącymi a nieistniejącymi użytkownikami.

Oryginalny opis (angielski, źródło NVD)

REDCap 14.3.13 allows an attacker to enumerate usernames due to an observable discrepancy between login attempts.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS