Runtipi — персональный оркестратор домашнего сервера. До версии 4.8.1 конечная точка Runtipi /api/auth/verify-totp не применяла никаких ограничений скорости, подсчета попыток или механизма блокировки учетной записи. Злоумышленник, получивший действительные учетные данные пользователя (с помощью фишинга, подброса учетных данных или утечки данных), может перебрать 6-значный код TOTP, чтобы полностью обойти двухфакторную аутентификацию.
Сеанс проверки TOTP продолжается в течение 24 часов (TTL кэша по умолчанию), обеспечивая чрезмерное окно, в течение которого может быть исчерпано полное пространство ключей из 1 000 000 кодов (000000–999999). При практической скорости запросов (~ 500 запросов в секунду) атака в худшем случае завершается примерно за 33 минуты. Эта уязвимость исправлена в версии 4.8.1.
Показать оригинальное описание (EN)
Runtipi is a personal homeserver orchestrator. Prior to 4.8.1, The Runtipi /api/auth/verify-totp endpoint does not enforce any rate limiting, attempt counting, or account lockout mechanism. An attacker who has obtained a user's valid credentials (via phishing, credential stuffing, or data breach) can brute-force the 6-digit TOTP code to completely bypass two-factor authentication. The TOTP verification session persists for 24 hours (default cache TTL), providing an excessive window during which the full 1,000,000-code keyspace (000000–999999) can be exhausted. At practical request rates (~500 req/s), the attack completes in approximately 33 minutes in the worst case. This vulnerability is fixed in 4.8.1.
Характеристики атаки
Последствия
Строка CVSS v3.1
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Runtipi Runtipi
cpe:2.3:a:runtipi:runtipi:*:*:*:*:*:*:*:*
|
— |
4.8.1
|