Offenlegung existierender Benutzerkonten in FOSS-Online (CVE-2024-34336)

Home / Blog / Offenlegung existierender Benutzerkonten in FOSS-Online (CVE-2024-34336)

Übersicht

Betroffenes Produkt: FOSS-Online vor Version 2.24.01
CVSS-Bewertung (v3.1): 5.3 (Medium)
Zugewiesene CVE: CVE-2024-34336
Empfehlung: Update zu Version 2.24.01 oder höher
Credit: Simon Holl von der MindBytes GmbH
Fehlermeldungen in der Anwendung offenbaren die Existenz von Benutzerkonten. Das erleichtert gezielte Angriffe auf existierende Benutzer.

Technische Details

Beim Zurücksetzen des Passworts muss sowohl der Benutzername als auch die dazugehörige E-Mail-Adresse angegeben werden. Unterschiede in den Fehlermeldungen lassen Rückschlüsse zu, ob ein bestimmter Benutzername in der Anwendung existiert oder nicht.

Ist sowohl der Benutzername als auch die E-Mail-Adresse falsch, so wird die Meldung „User not exists: <username>“ ausgegeben. Bei einem existierenden Benutzername in Kombination mit einer falschen E-Mail-Adresse wird die Fehlermeldung „Die eingegebene Email-Adresse ist zum eingegebenen Anwendernamen nicht hinterlegt! Bitte nehmen Sie Kontakt mit unserem Sachbearbeiter auf!“.

Die Abbildung zeigt die unterschiedlichen Fehlermeldungen.

CVE-2024-34336 ausnutzen

Bereit für mehr IT-Sicherheit?

Dann nutze unseren Konfigurator, um ein passendes Angebot anzufragen oder schreibe uns, um ein individuelles Angebot zu erhalten.