Informazioni sul CVE-2025-22144
Account Takeover in NamelessMC
CWE ID: CWE-610
Base Score (CVSS): 9
CVE: CVE-2025-22144
Descrizione: NamelessMC è un software web gratuito, facile da usare e potente per server Minecraft. Un utente con i permessi di amministrazione `admincp.core.emails` o `admincp.users.edit` può validare gli utenti e un attaccante può resettare la password. Quando l’account viene approvato via email, il codice di reset non sarà NULL, ma sarà vuoto. Quando l’account viene validato manualmente da un utente con i permessi di amministrazione `admincp.core.emails` o `admincp.users.edit`, il codice di reset non sarà più NULL, ma sarà vuoto. Un attaccante può richiedere http://localhost/nameless/index.php?route=/forgot_password/&c= e resettare la password. Di conseguenza, un attaccante può compromettere il password di un altro utente e prendere il controllo del loro account. Questo problema è stato risolto nella versione di rilascio 2.1.3 e si consiglia a tutti gli utenti di aggiornare. Non ci sono soluzioni note per questa vulnerabilità.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://github.com/NamelessMC/Nameless/security/advisories/GHSA-p883-7496-x35p
- https://github.com/NamelessMC/Nameless/releases/tag/v2.1.3
Prodotti interessati
- NamelessMC – Nameless
Relazioni con altri prodotti
Produttore:NamelessMC
Prodotto: Nameless
Anno: 2025
CWE: CWE-610
CVSS: 9.0