Версии EventSentry до 6.0.1.20 содержат уязвимость непроверенной смены пароля в функции управления учетными записями в интерфейсе веб-отчетов. Механизм смены пароля не требует проверки текущего пароля перед установкой нового пароля. Злоумышленник, получивший временный доступ к сеансу аутентифицированного пользователя, может изменить пароль учетной записи, не зная исходных учетных данных.
Это обеспечивает постоянный захват учетной записи и, если затронуты административные учетные записи, может привести к повышению привилегий.
Показать оригинальное описание (EN)
EventSentry versions prior to 6.0.1.20 contain an unverified password change vulnerability in the account management functionality of the Web Reports interface. The password change mechanism does not require validation of the current password before allowing a new password to be set. An attacker who gains temporary access to an authenticated user session can change the account password without knowledge of the original credentials. This enables persistent account takeover and, if administrative accounts are affected, may result in privilege escalation.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Netikus Eventsentry
cpe:2.3:a:netikus:eventsentry:*:*:*:*:*:*:*:*
|
— |
6.0.1.20
|