Piwigo — это веб-приложение для создания фотогалереи с открытым исходным кодом. В версии 15.5.0 и, вероятно, в более ранних версиях 15.x функция сброса пароля в Piwigo позволяет неаутентифицированному злоумышленнику определить, существует ли данное имя пользователя или адрес электронной почты в системе. Конечная точка pass.php?action=lost возвращает отдельные сообщения для действительных и недействительных учетных записей, позволяя осуществлять перечисление пользователей.
На момент публикации известных патчей не было.
Показать оригинальное описание (EN)
Piwigo is an open source photo gallery application for the web. In version 15.5.0 and likely earlier 15.x releases, the password reset functionality in Piwigo allows an unauthenticated attacker to determine whether a given username or email address exists in the system. The endpoint at password.php?action=lost returns distinct messages for valid vs. invalid accounts, enabling user enumeration. As of time of publication, no known patches are available.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Piwigo Piwigo
cpe:2.3:a:piwigo:piwigo:*:*:*:*:*:*:*:*
|
15.0.0
|
<= 15.5.0
|