Уязвимость передачи зашифрованного пароля при разрыве SFTP-соединения в MobaXterm
Описание
В MobaXterm при разрыве SFTP-соединения передается зашифрованный пароль на сервер. Сервер обрабатывает это как некорректную попытку входа, что может привести к DoS атаке для пользователя, если используются сервисы вроде fail2ban.
Затронутые версии ПО
- MobaXterm до версии 22.1
Тип уязвимости
DoS атака
Ссылки
- Third Party Advisory
- PatchRelease NotesVendor Advisory
- Third Party Advisory
- PatchRelease NotesVendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 22.2 (включая)
cpe:2.3:a:mobatek:mobaxterm:*:*:*:*:*:*:*:*
EPSS
Процентиль: 63%
0.00451
Низкий
9.1 Critical
CVSS3
Дефекты
CWE-798
CWE-798
Связанные уязвимости
CVSS3: 9.1
github
около 3 лет назад
When aborting a SFTP connection, MobaXterm before v22.1 sends a hardcoded password to the server. The server treats this as an invalid login attempt which can result in a Denial of Service (DoS) for the user if services like fail2ban are used.
EPSS
Процентиль: 63%
0.00451
Низкий
9.1 Critical
CVSS3
Дефекты
CWE-798
CWE-798