Katalog CVE

CVE-2025-12866

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

EIP Plus opracowany przez Hundred Plus ma podatność na słaby mechanizm odzyskiwania hasła, co pozwala nieautoryzowanemu zdalnemu atakującemu przewidzieć lub przeprowadzić atak brute-force na link 'zapomniałem hasła', co umożliwia skuteczne zresetowanie hasła dowolnego użytkownika.

Ocena ryzyka

Podatność ta stwarza ryzyko nieautoryzowanego dostępu do kont użytkowników, co może prowadzić do utraty danych lub naruszenia prywatności. Organizacje mogą być narażone na ataki, które mogą wpłynąć na ich reputację i zaufanie klientów.

Rekomendacja

Zaleca się wdrożenie silniejszych mechanizmów odzyskiwania hasła, takich jak weryfikacja tożsamości użytkownika przed umożliwieniem resetowania hasła. Należy również monitorować i analizować próby nieautoryzowanego dostępu.

Oryginalny opis (angielski, źródło NVD)

EIP Plus developed by Hundred Plus has a Weak Password Recovery Mechanism vulnerability, allowing unauthenticated remote attacker to predict or brute-force the 'forgot password' link, thereby successfully resetting any user's password.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS