BDU:2025-01263

Опубликовано: 14 окт. 2024

Источник: fstec

CVSS3: 7.6

CVSS2: 8

EPSS Низкий

Описание

Уязвимость веб-сервиса для передачи информации через временные ссылки Password Pusher связана со слабыми требованиями к паролю. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить атаку методом «грубой силы» (brute force)

Вендор

Apnotic LLC

Наименование ПО

Password Pusher

Версия ПО

до 1.49.0 (Password Pusher)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,6)

Средний уровень опасности (оценка CVSS 4.0 составляет 6,9)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:

https://github.com/pglombardo/PasswordPusher/releases/tag/v1.49.0

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://github.com/pglombardo/PasswordPusher/releases/tag/v1.49.0

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 31%

0.00115

Низкий

7.6 High

CVSS3

8 High

CVSS2

Связанные уязвимости

CVE-2024-52796

CVSS3: 5.3

nvd

около 1 года назад

Password Pusher, an open source application to communicate sensitive information over the web, comes with a configurable rate limiter. In versions prior to v1.49.0, the rate limiter could be bypassed by forging proxy headers allowing bad actors to send unlimited traffic to the site potentially causing a denial of service. In v1.49.0, a fix was implemented to only authorize proxies on local IPs which resolves this issue. As a workaround, one may add rules to one's proxy and/or firewall to not accept external proxy headers such as `X-Forwarded-*` from clients.

GHSA-ffp2-8p2h-4m5j