Übersicht
Betroffenes Produkt: FOSS-Online vor Version 2.24.01
CVSS-Bewertung (v3.1): 5.3 (Medium)
Zugewiesene CVE: CVE-2024-34336
Empfehlung: Update zu Version 2.24.01 oder höher
Credit: Simon Holl von der MindBytes GmbH
CVSS-Bewertung (v3.1): 5.3 (Medium)
Zugewiesene CVE: CVE-2024-34336
Empfehlung: Update zu Version 2.24.01 oder höher
Credit: Simon Holl von der MindBytes GmbH
Fehlermeldungen in der Anwendung offenbaren die Existenz von Benutzerkonten. Das erleichtert gezielte Angriffe auf existierende Benutzer.
Technische Details
Beim Zurücksetzen des Passworts muss sowohl der Benutzername als auch die dazugehörige E-Mail-Adresse angegeben werden. Unterschiede in den Fehlermeldungen lassen Rückschlüsse zu, ob ein bestimmter Benutzername in der Anwendung existiert oder nicht.
Ist sowohl der Benutzername als auch die E-Mail-Adresse falsch, so wird die Meldung „User not exists: <username>“ ausgegeben. Bei einem existierenden Benutzername in Kombination mit einer falschen E-Mail-Adresse wird die Fehlermeldung „Die eingegebene Email-Adresse ist zum eingegebenen Anwendernamen nicht hinterlegt! Bitte nehmen Sie Kontakt mit unserem Sachbearbeiter auf!“.
Die Abbildung zeigt die unterschiedlichen Fehlermeldungen.