CVE-2022-31248
SUMA user enumeration via weak error message
En resumen
El sistema muestra mensajes de error diferentes al intentar iniciar sesión con un usuario existente versus uno inexistente, permitiendo que los atacantes descubran nombres de usuario válidos sin necesidad de contraseña.
Detalle técnico
Una discrepancia de respuesta observable en el mecanismo de autenticación de SUSE Manager (spacewalk-java) permite que atacantes remotos sin autenticación enumeren nombres de usuario válidos analizando mensajes de error diferenciados. Esta vulnerabilidad de divulgación de información (CWE-204) requiere solo acceso a la red y ninguna autenticación, facilitando ataques dirigidos posteriores.
Resumen generado y traducido por IA a partir de la descripción oficial.
A Observable Response Discrepancy vulnerability in spacewalk-java of SUSE Manager Server 4.1, SUSE Manager Server 4.2 allows remote attackers to discover valid usernames. This issue affects: SUSE Manager Server 4.1 spacewalk-java versions prior to 4.1.46-1. SUSE Manager Server 4.2 spacewalk-java versions prior to 4.2.37-1.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →