One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8362367 |
| Date de publication | 2023-07-27 16:15:11 (vue: 2023-07-27 19:06:42) |
| Titre | CVE-2023-38492 |
| Texte | Kirby est un système de gestion de contenu.Une vulnérabilité dans les versions avant 3.5.8.3, 3.6.6.3, 3.7.5.2, 3.8.4.1 et 3.9.6 affecte tous les sites de Kirby avec des comptes d'utilisateurs (sauf si l'API et le panneau de Kirby \\ sont désactivés dans la configuration).L'impact du monde réel de cette vulnérabilité est limité, mais nous recommandons toujours de mettre à jour l'une des versions de correctifs car ils corrigent également des vulnérabilités plus graves.
Le point de terminaison de l'authentification de Kirby \\ n'a pas limité la longueur du mot de passe.Cela a permis aux attaquants de fournir un mot de passe avec une longueur jusqu'à la longueur du corps de la demande du serveur \\.La validation de ce mot de passe par rapport au mot de passe réel de l'utilisateur nécessite de hachage le mot de passe fourni, ce qui nécessite plus de ressources CPU et de mémoire (et donc le temps de traitement), plus le mot de passe fourni est long.Cela pourrait être maltraité par un attaquant pour que le site Web ne soit pas réactif ou indisponible.Étant donné que Kirby est livré avec une protection contre la force brute intégrée, l'impact de cette vulnérabilité est limité à 10 connexions ratées de chaque adresse IP et 10 connexions ratées pour chaque utilisateur existant par heure.
Le problème a été corrigé dans Kirby 3.5.8.3, 3.6.6.3, 3.7.5.2, 3.8.4.1 et 3.9.6.Dans toutes les versions mentionnées, les mainteneurs ont ajouté des limites de longueur de mot de passe dans le code affecté afin que les mots de passe de plus de 1000 octets soient immédiatement bloqués, à la fois lors de la définition d'un mot de passe et lors de la connexion.
Kirby is a content management system. A vulnerability in versions prior to 3.5.8.3, 3.6.6.3, 3.7.5.2, 3.8.4.1, and 3.9.6 affects all Kirby sites with user accounts (unless Kirby\'s API and Panel are disabled in the config). The real-world impact of this vulnerability is limited, however we still recommend to update to one of the patch releases because they also fix more severe vulnerabilities. Kirby\'s authentication endpoint did not limit the password length. This allowed attackers to provide a password with a length up to the server\'s maximum request body length. Validating that password against the user\'s actual password requires hashing the provided password, which requires more CPU and memory resources (and therefore processing time) the longer the provided password gets. This could be abused by an attacker to cause the website to become unresponsive or unavailable. Because Kirby comes with a built-in brute force protection, the impact of this vulnerability is limited to 10 failed logins from each IP address and 10 failed logins for each existing user per hour. The problem has been patched in Kirby 3.5.8.3, 3.6.6.3, 3.7.5.2, 3.8.4.1, and 3.9.6. In all of the mentioned releases, the maintainers have added password length limits in the affected code so that passwords longer than 1000 bytes are immediately blocked, both when setting a password and when logging in. |
| Envoyé | Oui |
| Condensat | 1000 2023 38492 abused accounts actual added address affected affects against all allowed also api are attacker attackers authentication because become been blocked body both brute built bytes cause code comes config content could cpu cve did disabled each endpoint existing failed fix force from gets has hashing have hour however immediately impact kirby length limit limited limits logging logins longer maintainers management maximum memory mentioned more not one panel password passwords patch patched per prior problem processing protection provide provided real recommend releases request requires resources server setting severe sites system than therefore time unavailable unless unresponsive update user validating versions vulnerabilities vulnerability website when which world |
| Tags | Vulnerability |
| Stories | |
| Notes | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.