CVE-2021-39189

Observable Response Discrepancy in Lost Password Service

CVSS 5.3 MEDIUMEPSS 1.2%CWE-204

En resumen

La función de recuperación de contraseña en Pimcore revela información sobre la existencia de usuarios a través de diferencias observables en las respuestas, permitiendo a atacantes descubrir cuentas válidas.

Detalle técnico

Un atacante puede enumerar nombres de usuario válidos mediante solicitudes de restablecimiento de contraseña y observar discrepancias en las respuestas (CWE-204) que filtran información sobre la existencia de cuentas sin autenticación. El ataque requiere solo acceso de red al endpoint de contraseña olvidada e impacta la confidencialidad de información de usuarios.

Resumen generado y traducido por IA a partir de la descripción oficial.

Pimcore is an open source data & experience management platform. In versions prior to 10.1.3, it is possible to enumerate usernames via the forgot password functionality. This issue is fixed in version 10.1.3. As a workaround, one may apply the available patch manually.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Productos afectados

pimcore · pimcore

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/pimcore/pimcore/pull/10223/commits/d0a4de39cf05dce6af71f8ca039132bdfcbb0dce https://github.com/pimcore/pimcore/pull/10223.patch https://github.com/pimcore/pimcore/security/advisories/GHSA-579x-cjvr-cqj9 https://huntr.dev/bounties/12462a99-ebf8-4e39-80b3-54a16caa3f4c/