CVE-2023-6912 : Vulnérabilité de force brute dans l'authentification des utilisateurs sur M-Files

DESCRIPTION :

L'absence de protection contre les attaques par force brute dans le serveur M-Files avant la version 23.12.13205.0 permet à un attaquant d'effectuer un nombre illimité de tentatives d'authentification, ce qui peut compromettre les comptes d'utilisateurs M-Files ciblés en devinant les mots de passe.

LES PRODUITS CONCERNÉS :

M-Files Serveur avant 23.12.13205.0

M-Files Serveur avant 23.12.13205.0

M-Files Serveur avant 23.2 LTS SR6 (cette version de service n'est pas concernée)

M-Files Serveur avant 23.8 LTS SR4 (cette version de service n'est pas concernée)

PLUS D'INFORMATIONS :

Des méthodes API spécifiques proposées par le serveur M-Files se sont révélées vulnérables à une attaque par force brute, permettant à des utilisateurs non authentifiés de deviner de manière illimitée les mots de passe des utilisateurs de M-Files .

CVSS 3.1 Score de base : 7.5

Score temporel CVSS 3.1 : 6.7

Vecteur CVSS : CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N/E:P/RL:O/RC:C

CWE : CWE-307 : Restriction incorrecte des tentatives d'authentification excessives

CAPEC : CAPEC-49 : Forçage brutal du mot de passe

ID interne : 168150, 168178

Date d'émission : 2023-12-19

EXPLOITABILITÉ

Divulgation publique : Non

Exploité : Non

Possibilité d'exploitation : faible - trouvée en interne

LIENS

https://www.cve.org/CVERecord?id=CVE-2023-6912

HISTOIRE

2023-12-19 Publié

2024-01-30 Mise à jour des produits concernés