Версии Mattermost 10.6.x <= 10.6.1, 10.5.x <= 10.5.2, 10.4.x <= 10.4.4, 9.11.x <= 9.11.11 не блокируют пользователей LDAP после повторных н…
Версии Mattermost 10.6.x <= 10.6.1, 10.5.x <= 10.5.2, 10.4.x <= 10.4.4, 9.11.x <= 9.11.11 не блокируют пользователей LDAP после повторных неудачных попыток входа, что позволяет злоумышленникам заблокировать внешние учетные записи LDAP через повторные неудачные попытки входа через Mattermost [1]. Источники: - [1] https://mattermost.com/security-updates
Программный продукт содержит механизм защиты от блокировки учётных записей, однако этот механизм слишком ограничителен и легко срабатывает, что позволяет злоумышленникам отказывать в обслуживании легитимным пользователям, провоцируя блокировку их учётных записей.
https://cwe.mitre.org/data/definitions/645.html →Открыть в коллекции CWE →Злоумышленник использует функциональность безопасности системы, направленную на противодействие потенциальным атакам, для проведения атаки отказа в обслуживании против легитимного пользователя системы. Многие системы, в частности, реализуют механизм ограничения попыток ввода пароля, блокирующий учётную запись после определённого количества неудачных попыток входа. Злоумышленник может использовать данный механизм ограничения для блокировки легитимного пользователя из его собственной учётной записи. Слабость, эксплуатируемая злоумышленником, — это именно та функция безопасности, которая была внедрена для противодействия атакам.
https://capec.mitre.org/data/definitions/2.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| mattermost-server | Отслеживается | |
| mattermost_server | * | Отслеживается |