Inicio / Alerta Temprana / Vulnerabilidades / CVE-2022-29174

Vulnerabilidad en el token de restablecimiento de la contraseña en countly-server (CVE-2022-29174)

Tipo: 
Mecanismo débil para recuperación de contraseñas olvidadas
Gravedad: 
Media
Fecha publicación : 
17/05/2022
Última modificación: 
29/05/2022
Descripción
countly-server es la parte del lado del servidor de Countly, una solución de análisis de productos. En versiones anteriores a 22.03.7 y 21.11.4, un actor malicioso que conoce la dirección de correo electrónico/nombre de usuario de una cuenta y el nombre completo especificado en la base de datos es capaz de adivinar el token de restablecimiento de la contraseña. El actor puede usar esta información para restablecer la contraseña y hacerse con la cuenta. El problema ha sido parcheado en Countly Server versión 22.03.7, para los servidores usando la nueva interfaz de usuario y en versión 21.11.4, para servidores usando la antigua interfaz de usuario
Impacto
Vector de acceso: A través de red
Complejidad de Acceso: Media
Autenticación: No requerida para explotarla
Tipo de impacto: Afecta parcialmente a la integridad del sistema + Afecta parcialmente a la confidencialidad del sistema + Afecta parcialmente a la disponibilidad del sistema
Productos y versiones vulnerables
  • cpe:2.3:a:count:countly_server:*:*:*:*:*:*:*:*
Para consultar la lista completa de productos y versiones ver esta página
Explicación de los campos