CVE-2022-44023

PwnDoc fino alla versione 0.5.3 consente agli attaccanti remoti di identificare i nomi utente di account disabilitati sfruttando i messaggi di risposta durante i tentativi di autenticazione.

Exploitation Steps

Questa vulnerabilità consente l’enumerazione dei nomi utente degli account disabilitati in PwnDoc (testato sulla versione 0.5.3 - 2022-07-19) osservando le risposte del server ai tentativi di login.

Scenario Esempio:

Supponiamo che i seguenti utenti siano stati registrati e successivamente disabilitati in PwnDoc:

Quando si tenta di accedere con uno di questi account disabilitati, l’applicazione risponde con un messaggio di errore specifico: “Account disabilitato”:

Richiesta del Client e Risposta del Server:

• Richiesta: Tentativo di accesso con un nome utente disabilitato
• Risposta: “Account disabilitato”

Al contrario, quando si tenta di accedere con un utente inesistente, l’applicazione risponde con un messaggio diverso: “Credenziali non valide”:

Tecnica di Sfruttamento:

Un attaccante può sfruttare questo comportamento per enumerare gli account disabilitati seguendo questi passaggi:

1. Eseguire un attacco di forza bruta con dizionario utilizzando un elenco di nomi utente potenziali tramite richieste POST di login.
2. Osservare le risposte per distinguere tra:
   • “Account disabilitato” (indica un account valido ma disabilitato).
   • “Credenziali non valide” (indica un account inesistente).

Questa enumerazione può essere sfruttata per identificare account che potrebbero essere riattivati in seguito da un amministratore, aumentando la superficie di attacco.

Risorse:

• https://nvd.nist.gov/vuln/detail/CVE-2022-44023
• https://github.com/pwndoc/pwndoc/issues/382
• https://cwe.mitre.org/data/definitions/307.html