Combodo iTop (aka IT Operations Portal), Combodo iTop (aka IT Operations Portal) Community Edition sérülékenysége
Angol cím: Combodo iTop (aka IT Operations Portal), Combodo iTop (aka IT Operations Portal) Community Edition vulnerability
Publikálás dátuma: 2023.03.14.
Utolsó módosítás dátuma: 2023.03.19.
Leírás
Nem megfelelő véletlen értékek használata: A szoftver nem megfelelő véletlen számokat vagy értékeket használhat olyan biztonsági környezetben, amely ezektől a kiszámíthatatlan számoktól függ.
Leírás forrása: CWE-330Elemzés leírás
Eredeti nyelven: Combodo iTop is an open source, web-based IT service management platform. Prior to versions 2.7.8 and 3.0.2-1, the reset password token is generated without any randomness parameter. This may lead to account takeover. The issue is fixed in versions 2.7.8 and 3.0.2-1.
Elemzés leírás forrása: CVE-2022-39216Hatás
CVSS3.1 Súlyosság és Metrika
Alap pontszám: 9.8 (Kritikus)
Vektor: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Hatás pontszáma: 5.9
Kihasználhatóság pontszáma: 3.9
Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Nincs
Hatókör (S): Nem változott
Bizalmasság Hatása (C): Magas
Sértetlenség Hatása (I): Magas
Rendelkezésre állás Hatása (A): Magas
Hivatkozások
https://github.com/Combodo/iTop/commit/35a8b501c9e4e767ec4b36c2586f34d4ab66d229
https://github.com/Combodo/iTop/commit/f10e9c2d64d0304777660a4f70f1e80850ea864b
https://github.com/Combodo/iTop/security/advisories/GHSA-hggq-48p2-cmhm
Sérülékeny szoftverek
Combodo iTop (aka IT Operations Portal) Community Edition 2.7.8 előttig
Combodo iTop (aka IT Operations Portal) 3.0.2-1 előttig