Описание
When a password reset mechanism is configured to use the Authentication API with an Authentication Policy, email One-Time Password, PingID or SMS authentication, an existing user can reset another existing user’s password.
Ссылки
- Release NotesVendor Advisory
- Vendor Advisory
- Release NotesVendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 9.3.0 (включая) до 9.3.3 (исключая)Версия от 10.0.0 (включая) до 10.0.12 (исключая)Версия от 10.1.0 (включая) до 10.1.9 (исключая)Версия от 10.2.0 (включая) до 10.2.7 (исключая)Версия от 10.3.0 (включая) до 10.3.4 (исключая)
Одно из
cpe:2.3:a:pingidentity:pingfederate:*:*:*:*:*:*:*:*
cpe:2.3:a:pingidentity:pingfederate:*:*:*:*:*:*:*:*
cpe:2.3:a:pingidentity:pingfederate:*:*:*:*:*:*:*:*
cpe:2.3:a:pingidentity:pingfederate:*:*:*:*:*:*:*:*
cpe:2.3:a:pingidentity:pingfederate:*:*:*:*:*:*:*:*
cpe:2.3:a:pingidentity:pingfederate:9.3.3:p15:*:*:*:*:*:*
cpe:2.3:a:pingidentity:pingfederate:11.0.0:*:*:*:*:*:*:*
EPSS
Процентиль: 33%
0.00131
Низкий
6.5 Medium
CVSS3
3.5 Low
CVSS2
Дефекты
CWE-288
CWE-287
Связанные уязвимости
CVSS3: 6.5
github
почти 4 года назад
When a password reset mechanism is configured to use the Authentication API with an Authentication Policy, email One-Time Password, PingID or SMS authentication, an existing user can reset another existing user’s password.
EPSS
Процентиль: 33%
0.00131
Низкий
6.5 Medium
CVSS3
3.5 Low
CVSS2
Дефекты
CWE-288
CWE-287