CVE-2023-6912: Brute force-sårbarhet i M-Files användarautentisering

BESKRIVNING:

Bristande skydd mot brute force-attacker i M-Files Server före 23.12.13205.0 gör det möjligt för en angripare att göra obegränsade autentiseringsförsök, vilket potentiellt kan äventyra riktade M-Files -användarkonton genom att gissa lösenord.

BERÖRDA PRODUKTER:

M-Files Server före 23.12.13205.0

M-Files Server före 23.12.13205.0

M-Files Server före 23.2 LTS SR6 (denna serviceversion påverkas inte)

M-Files Server före 23.8 LTS SR4 (denna serviceversion påverkas inte)

MER INFORMATION:

Specifika API-metoder som erbjuds av M-Files Server visade sig vara sårbara för en brute force-attack, vilket gör det möjligt för oautentiserade användare att utföra obegränsade gissningar på M-Files användarlösenord.

CVSS 3.1 Baspoäng: 7,5

CVSS 3.1 Temporal poäng: 6,7

CVSS-vektor: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N/E:P/RL:O/RC:C

CWE: CWE-307: Felaktig begränsning av överdrivna autentiseringsförsök

CAPEC: CAPEC-49: Brute-forcing av lösenord

Internt ID: 168150, 168178

Datum för utfärdande: 2023-12-19

EXPLOATERBARHET

Offentligt tillkännagiven: Nej

Utnyttjad: Nej

Sannolikhet för exploatering: låg - internt funnen

LÄNKAR

https://www.cve.org/CVERecord?id=CVE-2023-6912

HISTORIA

2023-12-19 Publicerad

2024-01-30 Berörda produkter uppdaterade