Cal.com - это программное обеспечение для планирования с открытым исходным кодом. До 5.9.8, недостаток в провайдере учетных данных для вход…
Cal.com - это программное обеспечение для планирования с открытым исходным кодом. До 5.9.8, недостаток в провайдере учетных данных для входа позволяет злоумышленнику обходить проверку пароля при предоставлении кода TOTP, потенциально получая несанкционированный доступ к учетным записям пользователей. Эта проблема существует из-за проблемной условной логики в потоке аутентификации. Эта уязвимость зафиксирована в пункте 5.9.8.
Требования к продукту предписывают использование установленного алгоритма аутентификации, однако его реализация выполнена некорректно.
https://cwe.mitre.org/data/definitions/303.html →Открыть в коллекции CWE →Злоумышленник может злоупотребить протоколом аутентификации, уязвимым к атаке-отражению, для его обхода. Это позволяет злоумышленнику получить нелегитимный доступ к целевой системе без наличия требуемых учётных данных. Атаки-отражения представляют серьёзную угрозу для протоколов аутентификации, основанных на механизме запрос-ответ или аналогичном. Злоумышленник может выдавать себя за легитимного пользователя и, успешно проведя атаку-отражение в ходе аутентификации, получить нелегитимный доступ к системе.
https://capec.mitre.org/data/definitions/90.html →Открыть в коллекции CAPEC →