CVE-2024-24766
CasaOS Username Enumeration
En resumen
La página de login de CasaOS revela si un nombre de usuario existe o no mediante diferentes mensajes de error. Esto permite a los atacantes descubrir nombres de usuario válidos, facilitando ataques de fuerza bruta de contraseña.
Detalle técnico
Vulnerabilidad de enumeración de usuarios en CasaOS-UserService (versiones 0.4.4.3 a 0.4.6) originada por mensajes de error distintos durante intentos de autenticación (CWE-204). Un atacante puede diferenciar entre nombres de usuario inválidos y contraseñas incorrectas a través de las respuestas de la aplicación, permitiendo enumeración sistemática de usuarios sin autenticación. Corregido en versión 0.4.7.
Resumen generado y traducido por IA a partir de la descripción oficial.
CasaOS-UserService provides user management functionalities to CasaOS. Starting in version 0.4.4.3 and prior to version 0.4.7, the Casa OS Login page disclosed the username enumeration vulnerability in the login page. An attacker can enumerate the CasaOS username using the application response. If the username is incorrect application gives the error `**User does not exist**`. If the password is incorrect application gives the error `**Invalid password**`. Version 0.4.7 fixes this issue.
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Productos afectados
IceWhaleTech · CasaOS-UserService¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://github.com/IceWhaleTech/CasaOS-UserService/commit/c75063d7ca5800948e9c09c0a6efe9809b5d39f7https://github.com/IceWhaleTech/CasaOS-UserService/releases/tag/v0.4.7https://github.com/IceWhaleTech/CasaOS-UserService/security/advisories/GHSA-c967-2652-gfjmhttps://github.com/IceWhaleTech/CasaOS-UserService/security/advisories/GHSA-hcw2-2r9c-gc6p