Cap-go Console < 12.28.2 содержит уязвимость отказа в обслуживании в потоке удаления учетной записи, которая позволяет злоумышленнику блоки…
Cap-go Console < 12.28.2 содержит уязвимость отказа в обслуживании в потоке удаления учетной записи, которая позволяет злоумышленнику блокировать функции аутентификации и входа в систему, запуская удаление учетной записи, в то время как идентификатор устройства связан с активным сеансом. Платформа неправильно связывает состояние удаления с идентификатором устройства, в результате чего затронутое устройство или среда браузера будут перенаправлены на страницу с отключенным учетной записью в течение примерно 30 дней, предотвращая любой вход в учетную запись или регистрацию с этого устройства.
Программный продукт содержит механизм защиты от блокировки учётных записей, однако этот механизм слишком ограничителен и легко срабатывает, что позволяет злоумышленникам отказывать в обслуживании легитимным пользователям, провоцируя блокировку их учётных записей.
https://cwe.mitre.org/data/definitions/645.html →Открыть в коллекции CWE →Злоумышленник использует функциональность безопасности системы, направленную на противодействие потенциальным атакам, для проведения атаки отказа в обслуживании против легитимного пользователя системы. Многие системы, в частности, реализуют механизм ограничения попыток ввода пароля, блокирующий учётную запись после определённого количества неудачных попыток входа. Злоумышленник может использовать данный механизм ограничения для блокировки легитимного пользователя из его собственной учётной записи. Слабость, эксплуатируемая злоумышленником, — это именно та функция безопасности, которая была внедрена для противодействия атакам.
https://capec.mitre.org/data/definitions/2.html →Открыть в коллекции CAPEC →