Password Reset Poisoning Angriff im Craft CMS

Title

Password Reset Poisoning Attack

Product

Craft CMS

Vulnerable Version

3.7.36 and potentially lower

Fixed Version

none, see workaround by vendor

CVE Number

CVE-2022-29933

Impact

high

Homepage

https://craftcms.com

Found

14.03.2022

Sandro Einfeldt (Office Munich) | SEC Consult Vulnerability Lab

Craft CMS bietet Anwendern ein Backend-Interface zur Implementierung der Website und zur Konfiguration des CMS. Auf der Login-Seite erhalten Benutzer die Möglichkeit durch die Angabe eines validen Account-Namens oder einer validen Email-Adresse das Passwort des Accounts zurückzusetzen. Die Passwort-Reset-Funktion ist auf einen Password-Reset-Poisoning-Angriff anfällig.

Zum vollständigen Security Advisory (Englisch).

EOF Sandro Einfeldt / @2022

Interesse an einer Zusammenarbeit mit den Experten von SEC Consult? Senden Sie uns Ihre Bewerbung.
Möchten Sie Ihre eigene Cyber-Sicherheit mit den Experten von SEC Consult verbessern? Kontaktieren Sie unsere lokalen Büros.

Zurück

Password Reset Poisoning Angriff im Craft CMS

Wir nutzen Cookies

Technisch erforderlich

Analyse / Statistik

Matomo