GHSA-r37h-j483-cjjm

Опубликовано: 01 июн. 2021

Источник: github

Github: Прошло ревью

Описание

Improper rate limiting in Koel

Koel before 5.1.4 lacks login throttling, lacks a password strength policy, and shows whether a failed login attempt had a valid username. This might make brute-force attacks easier.

Ссылки

https://nvd.nist.gov/vuln/detail/CVE-2021-33563
https://github.com/koel/koel/releases/tag/v5.1.4
https://huntr.dev/bounties/1-other-koel/koel

Пакеты

Наименование

phanan/koel

composer

Затронутые версииВерсия исправления

< 5.1.4

5.1.4

EPSS

Процентиль: 39%

0.00171

Низкий

CVE ID

CVE-2021-33563

Дефекты

CWE-799

CWE-916

Связанные уязвимости

CVE-2021-33563

CVSS3: 7.5

nvd

больше 4 лет назад

Koel before 5.1.4 lacks login throttling, lacks a password strength policy, and shows whether a failed login attempt had a valid username. This might make brute-force attacks easier.

EPSS

Процентиль: 39%

0.00171

Низкий

CVE ID

CVE-2021-33563

Дефекты

CWE-799

CWE-916