Combodo iTop (aka IT Operations Portal), Combodo iTop (aka IT Operations Portal) Community Edition sérülékenysége
Angol cím: Combodo iTop (aka IT Operations Portal), Combodo iTop (aka IT Operations Portal) Community Edition vulnerability
Publikálás dátuma: 2023.03.14.
Utolsó módosítás dátuma: 2023.03.19.
Leírás
Nem megfelelő véletlen értékek használata: A szoftver nem megfelelő véletlen számokat vagy értékeket használhat olyan biztonsági környezetben, amely ezektől a kiszámíthatatlan számoktól függ.
Leírás forrása: CWE-330Elemzés leírás
Eredeti nyelven: Combodo iTop is an open source, web-based IT service management platform. Prior to versions 2.7.8 and 3.0.2-1, the reset password token is generated without any randomness parameter. This may lead to account takeover. The issue is fixed in versions 2.7.8 and 3.0.2-1.
Elemzés leírás forrása: CVE-2022-39216Hatás
CVSS3.1 Súlyosság és Metrika
Base score: 9.8 (Kritikus)
Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Impact Score: 5.9
Exploitability Score: 3.9
Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): None
Scope (S): Unchanged
Confidentiality Impact (C): High
Integrity Impact (I): High
Availability Impact (A): High
Hivatkozások
https://github.com/Combodo/iTop/commit/35a8b501c9e4e767ec4b36c2586f34d4ab66d229
https://github.com/Combodo/iTop/commit/f10e9c2d64d0304777660a4f70f1e80850ea864b
https://github.com/Combodo/iTop/security/advisories/GHSA-hggq-48p2-cmhm
Sérülékeny szoftverek
Combodo iTop (aka IT Operations Portal) Community Edition 2.7.8 előttig
Combodo iTop (aka IT Operations Portal) 3.0.2-1 előttig