支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:752

75.2%
立即捐款
一、 漏洞 CVE-2020-25200 基础信息
漏洞信息
                                        # N/A

## 漏洞概述
Pritunl 1.29.2145.25版本中存在一个漏洞,允许攻击者通过一系列 `/auth/session` 登录尝试枚举有效的VPN用户名。尽管厂商认为这不是漏洞而是预期的设计,但攻击者可以通过这种方法区分有效的用户名和无效的用户名。

## 影响版本
- Pritunl 1.29.2145.25

## 漏洞细节
- 攻击者可以通过向 `/auth/session` 进行登录尝试来枚举有效的VPN用户名。
- 初始时,服务器返回错误代码401。
- 如果用户名有效,经过20次登录尝试之后,服务器响应错误代码400。
- 如果用户名无效,服务器会继续返回错误代码401。

## 影响
- 攻击者可以利用这一漏洞枚举有效的用户名,从而使暴力破解等攻击成为可能。
神龙判断

是否为 Web 类漏洞:

判断理由:

是。这个漏洞允许攻击者通过一系列的 /auth/session 登录尝试来枚举有效的 VPN 用户名。具体来说,如果用户名有效,经过 20 次登录尝试后,服务器会开始返回错误代码 400;而无效的用户名则会持续收到错误代码 401。虽然厂商认为这不是一个漏洞,但这种行为确实可能被利用来收集有效的用户名信息。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Pritunl 1.29.2145.25 allows attackers to enumerate valid VPN usernames via a series of /auth/session login attempts. Initially, the server will return error 401. However, if the username is valid, then after 20 login attempts, the server will start responding with error 400. Invalid usernames will receive error 401 indefinitely. Note: This has been disputed by the vendor as not a vulnerability. They argue that this is an intended design
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
pritunl 信息泄露漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
pritunl是个人开发者的一款基于Open VPN协议的分布式企业vpn服务。该产品提供可视化的Vpn连接状态。 Pritunl 1.29.2145.25 版本存在信息泄露漏洞,攻击者可利用该漏洞通过一系列/认证/会话登录尝试来枚举有效的VPN用户名。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
信息泄露
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2020-25200 的公开POC
#POC 描述源链接神龙链接
1pritunl-CVE-2020-25200https://github.com/lukaszstu/pritunl-CVE-2020-25200POC详情
2Pritunl 1.29.2145.25 contains a username enumeration issue caused by different error responses in /auth/session login attempts, letting attackers verify valid usernames, exploit requires network access to the login endpoint. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2020/CVE-2020-25200.yamlPOC详情
三、漏洞 CVE-2020-25200 的情报信息
四、漏洞 CVE-2020-25200 的评论

暂无评论

发表评论