CVE-2021-34580

Remote user enumeration in mymbCONNECT24, mbCONNECT24 <= 2.9.0

CVSS 7.5 HIGHEPSS 1.0%CWE-204

En resumen

Un atacante puede descubrir nombres de usuario válidos en sistemas mymbCONNECT24 y mbCONNECT24 observando cómo responde el servidor a intentos de inicio de sesión falsificados. Esto ayuda a los criminales a identificar cuentas reales para ataques posteriores.

Detalle técnico

La aplicación devuelve respuestas HTTP diferentes para nombres de usuario válidos versus inválidos durante la autenticación, permitiendo enumeración sin autenticación a través de diferencias en las respuestas del servidor. Esta divulgación de información (CWE-204) permite a los atacantes construir una lista de usuarios legítimos para ataques de fuerza bruta o credential stuffing contra versiones afectadas hasta 2.9.0.

Resumen generado y traducido por IA a partir de la descripción oficial.

In mymbCONNECT24, mbCONNECT24 <= 2.9.0 an unauthenticated user can enumerate valid backend users by checking what kind of response the server sends for crafted invalid login attempts.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Productos afectados

MB connect line · mbCONNECT24 MB connect line · mymbCONNECT24

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://cert.vde.com/en/advisories/VDE-2021-037/