CVE-2024-24766
CasaOS Username Enumeration
Em resumo
A página de login do CasaOS revela se um nome de usuário existe ou não através de mensagens de erro diferentes. Isso permite que atacantes descubram nomes de usuários válidos, facilitando ataques de força bruta de senha.
Detalhe técnico
Vulnerabilidade de enumeração de usuários no CasaOS-UserService (versões 0.4.4.3 a 0.4.6) originária de mensagens de erro distintas durante tentativas de autenticação (CWE-204). Um atacante pode diferenciar entre nomes de usuário inválidos e senhas incorretas através das respostas da aplicação, permitindo enumeração sistemática de usuários sem autenticação. Corrigido na versão 0.4.7.
Resumo gerado e traduzido por IA a partir da descrição oficial.
CasaOS-UserService provides user management functionalities to CasaOS. Starting in version 0.4.4.3 and prior to version 0.4.7, the Casa OS Login page disclosed the username enumeration vulnerability in the login page. An attacker can enumerate the CasaOS username using the application response. If the username is incorrect application gives the error `**User does not exist**`. If the password is incorrect application gives the error `**Invalid password**`. Version 0.4.7 fixes this issue.
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Produtos afetados
IceWhaleTech · CasaOS-UserServiceQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://github.com/IceWhaleTech/CasaOS-UserService/commit/c75063d7ca5800948e9c09c0a6efe9809b5d39f7https://github.com/IceWhaleTech/CasaOS-UserService/releases/tag/v0.4.7https://github.com/IceWhaleTech/CasaOS-UserService/security/advisories/GHSA-c967-2652-gfjmhttps://github.com/IceWhaleTech/CasaOS-UserService/security/advisories/GHSA-hcw2-2r9c-gc6p