ГлавнаяБаза уязвимостей БДУ → BDU:2024-00099
7.5высокая

BDU:2024-00099

Уязвимость корпоративного менеджера паролей Passwork, связанная с недостатками процедуры авторизации, позволяющая нарушителю выполнить обход двухфакторной аутентификации (2FA)
Опубликовано: 2024-01-09
Описание

Уязвимость корпоративного менеджера паролей Passwork связана с недостатками процедуры авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить обход двухфакторной аутентификации (2FA) путём подбора одноразового шестизначного кода

Затрагиваемое ПО и версии
Passwork (до 6.2.0)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей;
- ограничение доступа из внешних сетей (Интернет);
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Оценка CVSS
Балл7.5 — высокая опасность
Источники и патчи
https://acribia.ru/articles/2fa_bypass_passworkhttps://passwork.ru/
Проверьте безопасность своего сайта и почты → Полная проверка домена