CVE-2022-26872

Password reset interception via API

CVSS 8.3 HIGHEPSS 0.8%CWE-640

Em resumo

Uma falha na API do AMI Megarac permite que atacantes interceptem solicitações de redefinição de senha, podendo obter acesso não autorizado às contas. Isso ocorre porque a API não protege adequadamente o processo de reset de senha.

Detalhe técnico

O endpoint da API responsável pela redefinição de senha no AMI Megarac não implementa proteção adequada contra interceptação de requisições, permitindo que um atacante capture ou manipule tokens ou credenciais de reset em trânsito. A exploração requer posição de man-in-the-middle ou acesso de rede, resultando em comprometimento de conta.

Resumo gerado e traduzido por IA a partir da descrição oficial.

AMI Megarac Password reset interception via API

CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H

Produtos afetados

AMI · MegaRAC SPx-12 AMI · MegaRAC SPx-13

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://9443417.fs1.hubspotusercontent-na1.net/hubfs/9443417/Security%20Advisories/AMI-SA-2023001.pdf https://security.netapp.com/advisory/ntap-20230731-0008/https://www.kb.cert.org/vuls/id/730007