Vulnerabilità: CVE-2020-26236

In ScratchVerifier prima di commettere a603769, un utente malintenzionato può dirottare il processo di verifica per accedere a qualcun altro conto su qualsiasi sito che utilizza ScratchVerifier per gli accessi. Una possibile sfruttamento sarebbe procedere come segue: 1. L’utente avvia processo di login. 2. tentativi attaccante login per l’utente, e viene dato lo stesso codice di verifica. 3. Osservazioni codice utente come parte del loro normale accesso. 4. Prima lattina utente, attaccante completa il processo di login ora che il codice è commentato. 5. L’utente ottiene un login fallito e attaccante ora ha il controllo del conto. Dal momento che impegnarsi a603769 iniziare un login due volte genererà diversi codici di verifica, causando sia utente e attaccante login a fallire. Per i clienti che si affidano a un clone di ScratchVerifier non ospitato dagli sviluppatori, i loro utenti possono tentare di completare il processo di login al più presto possibile dopo aver commentato il codice. Non v’è alcun modo affidabile per l’attaccante di conoscere prima che l’utente può terminare il processo che l’utente ha commentato il codice, in modo da questa vulnerabilità riguarda solo coloro che davvero commentare il codice e poi prendere diversi secondi prima di terminare la login.


https://github.com/ScratchVerifier/ScratchVerifier/security/advisories/GHSA-99cr-hvf7-85g9
https://github.com/ScratchVerifier/ScratchVerifier/security/advisories/GHSA-99cr-hvf7-85g9
https://github.com/ScratchVerifier/ScratchVerifier/commit/a603769010abf8c1bede91af46e4945314e4aa4a
https://github.com/ScratchVerifier/ScratchVerifier/commit/a603769010abf8c1bede91af46e4945314e4aa4a
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26236


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi