CVE-2023-6912: Brute-Force-Schwachstelle in der Benutzerauthentifizierung M-Files

BESCHREIBUNG:

Der fehlende Schutz gegen Brute-Force-Angriffe in M-Files Server vor 23.12.13205.0 ermöglicht es einem Angreifer, eine unbegrenzte Anzahl von Authentifizierungsversuchen durchzuführen und so durch das Erraten von Passwörtern gezielt M-Files Benutzerkonten zu kompromittieren.

BETROFFENE PRODUKTE:

M-Files Server vor 23.12.13205.0

M-Files Server vor 23.12.13205.0

M-Files Server vor 23.2 LTS SR6 (dieses Service-Release ist nicht betroffen)

M-Files Server vor 23.8 LTS SR4 (dieses Service-Release ist nicht betroffen)

MEHR INFORMATIONEN:

Bestimmte API-Methoden, die von M-Files Server angeboten werden, waren anfällig für einen Brute-Force-Angriff, der es nicht authentifizierten Benutzern ermöglichte, unbegrenzt Passwörter für M-Files zu erraten.

CVSS 3.1 Basiswert: 7.5

CVSS 3.1 Zeitliche Bewertung: 6.7

CVSS-Vektor: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N/E:P/RL:O/RC:C

CWE: CWE-307: Unzulässige Einschränkung übermäßiger Authentifizierungsversuche

CAPEC: CAPEC-49: Brute Forcing von Passwörtern

Interne ID: 168150, 168178

Ausstellungsdatum: 2023-12-19

VERWERTBARKEIT

Öffentlich bekannt gegeben: Nein

Ausgenutzt: Nein

Wahrscheinlichkeit der Ausbeutung: gering - intern gefunden

LINKS

https://www.cve.org/CVERecord?id=CVE-2023-6912

GESCHICHTE

2023-12-19 Veröffentlicht

2024-01-30 Betroffene Produkte aktualisiert