Inicio / Alerta Temprana / Vulnerabilidades / CVE-2020-26236

Vulnerabilidad en un código de comentarios de usuario en el proceso de inicio sesión de ScratchVerifier (CVE-2020-26236)

Tipo: 
Autenticación incorrecta
Gravedad: 
Sin asignar
Fecha publicación : 
20/11/2020
Última modificación: 
20/11/2020
Descripción
En ScratchVerifier versiones anteriores al commit a603769, un atacante puede secuestrar el proceso de comprobación para iniciar sesión en la cuenta de otra persona en cualquier sitio que use ScratchVerifier para iniciar sesión. Una posible explotación seguiría estos pasos: 1. El usuario comienza el proceso de inicio de sesión. 2. El atacante intenta iniciar sesión por el usuario y recibe el mismo código de comprobación . 3. Un código de comentarios de usuario como parte de su inicio de sesión normal. 4. Antes de que el usuario pueda, el atacante completa el proceso de inicio de sesión ahora que el código es comentado. 5. El usuario obtiene un inicio de sesión fallido y el atacante ahora presenta el control de la cuenta. Dado que el commit a603769, comienza un inicio de sesión dos veces generará diferentes códigos de comprobación, causando un fallo al inicio de sesión del usuario y del atacante. Para los clientes que dependen de un clon de ScratchVerifier no alojado por los desarrolladores, sus usuarios pueden intentar finalizar el proceso de inicio de sesión lo antes posible después de comentar el código. No existe una forma confiable para que el atacante se entere antes que el usuario pueda finalizar el proceso que el usuario ha comentado el código, por lo que esta vulnerabilidad solo afecta realmente a quienes comentan el código y luego tardan varios segundos antes de finalizar el inicio de sesión
Impacto
Vector de acceso: No disponible
Complejidad de Acceso: No disponible
Autenticación: No disponible
Tipo de impacto: No disponible
Explicación de los campos