漏洞标题
HaloITSM - 密码重置中毒
漏洞描述信息
直到2.146.1版本的HaloITSM均受到重置密码中毒(Password Reset Poisoning)漏洞的影响。攻击者可以通过已知目标用户的电子邮件地址,发送中毒的密码重置链接给这些用户。当这些中毒链接被访问(例如,由受害者手动访问,或者由电子邮件客户端软件自动处理)时,攻击者能够获取到密码重置令牌,从而可以为受害者的账户设置新的密码。这可能导致账户接管攻击。从2.146.1版本及后续版本(以及从2.143.61开始的补丁)开始,HaloITSM修复了此提到的漏洞。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
漏洞类别
敏感数据的明文传输
漏洞标题
HaloITSM - Password Reset Poisoning
漏洞描述信息
HaloITSM versions up to 2.146.1 are affected by a Password Reset Poisoning vulnerability. Poisoned password reset links can be sent to existing HaloITSM users (given their email address is known). When these poisoned links get accessed (e.g. manually by the victim or automatically by an email client software), the password reset token is leaked to the malicious actor, allowing them to set a new password for the victim's account.This potentially leads to account takeover attacks.HaloITSM versions past 2.146.1 (and patches starting from 2.143.61 ) fix the mentioned vulnerability.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:L
漏洞类别
忘记口令恢复机制弱
漏洞标题
HaloITSM 安全漏洞
漏洞描述信息
HaloITSM是英国HaloITSM公司的一款符合 ITIL 的 ITSM 软件。 HaloITSM 2.146.1版本及之前版本存在安全漏洞,该漏洞源于存在密码重置功能中存在投毒问题。攻击者利用该漏洞可以通过诱骗的方式修改受害者的账户密码。
CVSS信息
N/A
漏洞类别
其他