Tandoor Recipes — приложение для управления рецептами, планирования блюд и составления списков покупок. В версиях до 2.6.0 Tandoor Recipes настраивает Django REST Framework с BasicAuthentication в качестве одного из серверов аутентификации по умолчанию. Конфигурация ограничения скорости AllAuth (ACCOUNT_RATE_LIMITS: login: 5/m/ip) применяется только к конечной точке входа на основе HTML в /accounts/login/.
Любая конечная точка API, которая принимает запросы с проверкой подлинности, может быть нацелена с помощью авторизации: базовые заголовки с нулевым ограничением скорости, нулевой блокировкой учетной записи и неограниченным количеством попыток. Злоумышленник может быстро подобрать пароль для любого известного имени пользователя. Версия 2.6.0 исправляет проблему.
Показать оригинальное описание (EN)
Tandoor Recipes is an application for managing recipes, planning meals, and building shopping lists. In versions prior to 2.6.0, Tandoor Recipes configures Django REST Framework with BasicAuthentication as one of the default authentication backends. The AllAuth rate limiting configuration (ACCOUNT_RATE_LIMITS: login: 5/m/ip) only applies to the HTML-based login endpoint at /accounts/login/. Any API endpoint that accepts authenticated requests can be targeted via Authorization: Basic headers with zero rate limiting, zero account lockout, and unlimited attempts. An attacker can perform high-speed password guessing against any known username. Version 2.6.0 patches the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1