ID CVE-2019-18818
Summary strapi before 3.0.0-beta.17.5 mishandles password resets within packages/strapi-admin/controllers/Auth.js and packages/strapi-plugin-users-permissions/controllers/Auth.js.
References
Vulnerable Configurations
  • cpe:2.3:a:strapi:strapi:1.6.4:*:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:1.6.4:*:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.10.1:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.10.1:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.10.2:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.10.2:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.10.3:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.10.3:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.11:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.11:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.11.1:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.11.1:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.11.2:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.11.2:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.11.3:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.11.3:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.12:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.12:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.12.1:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.12.1:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.12.1.3:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.12.1.3:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.12.2:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.12.2:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.12.3:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.12.3:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.12.4:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.12.4:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.12.5:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.12.5:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.12.6:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.12.6:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.12.7:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.12.7:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.12.7.1:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.12.7.1:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.13:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.13:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.13.0.1:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.13.0.1:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.13.1:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.13.1:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.14:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.14:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.14.1:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.14.1:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.14.1.1:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.14.1.1:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.14.2:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.14.2:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.14.3:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.14.3:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.14.4.0:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.14.4.0:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.14.5:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.14.5:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.15:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.15:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.16:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.16:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.17:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.17:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.18:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.18:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.19:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.19:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.20:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.20:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.21:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.21:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.22:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.22:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.23:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.23:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.23.1:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.23.1:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.24:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.24:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.24.1:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.24.1:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.25:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.25:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.25.1:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.25.1:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.25.2:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.25.2:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.26:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.26:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.26.1:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.26.1:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.26.2:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.26.2:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.4:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.4:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.4.8:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.4.8:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.5.3:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.5.3:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.5.5:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.5.5:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.6.3:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.6.3:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.6.4:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.6.4:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.6.7:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.6.7:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.7.2:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.7.2:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.7.3:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.7.3:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.8:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.8:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.8.3:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.8.3:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.9:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.9:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.9.1:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.9.1:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:alpha.9.2:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:alpha.9.2:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:beta.0:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:beta.0:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:beta.1:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:beta.1:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:beta.10:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:beta.10:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:beta.11:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:beta.11:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:beta.12:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:beta.12:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:beta.13:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:beta.13:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:beta.14:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:beta.14:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:beta.15:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:beta.15:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:beta.16:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:beta.16:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:beta.16.1:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:beta.16.1:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:beta.16.2:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:beta.16.2:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:beta.16.3:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:beta.16.3:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:beta.16.4:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:beta.16.4:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:beta.16.5:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:beta.16.5:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:beta.16.6:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:beta.16.6:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:beta.16.7:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:beta.16.7:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:beta.16.8:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:beta.16.8:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:beta.17:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:beta.17:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:beta.17.1:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:beta.17.1:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:beta.17.2:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:beta.17.2:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:beta.17.3:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:beta.17.3:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:beta.17.4:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:beta.17.4:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:beta.2:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:beta.2:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:beta.3:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:beta.3:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:beta.4:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:beta.4:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:beta.5:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:beta.5:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:beta.6:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:beta.6:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:beta.7:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:beta.7:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:beta.8:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:beta.8:*:*:*:*:*:*
  • cpe:2.3:a:strapi:strapi:3.0.0:beta.9:*:*:*:*:*:*
    cpe:2.3:a:strapi:strapi:3.0.0:beta.9:*:*:*:*:*:*
CVSS
Base: 5.0
Impact:
Exploitability:
CWE CWE-640
CAPEC
  • Password Recovery Exploitation
    An attacker may take advantage of the application feature to help users recover their forgotten passwords in order to gain access into the system with the same privileges as the original user. Generally password recovery schemes tend to be weak and insecure. Most of them use only one security question . For instance, mother's maiden name tends to be a fairly popular one. Unfortunately in many cases this information is not very hard to find, especially if the attacker knows the legitimate user. These generic security questions are also re-used across many applications, thus making them even more insecure. An attacker could for instance overhear a coworker talking to a bank representative at the work place and supplying their mother's maiden name for verification purposes. An attacker can then try to log in into one of the victim's accounts, click on "forgot password" and there is a good chance that the security question there will be to provide mother's maiden name. A weak password recovery scheme totally undermines the effectiveness of a strong password scheme.
Access
VectorComplexityAuthentication
Impact
ConfidentialityIntegrityAvailability
Last major update 07-11-2019 - 22:15
Published 07-11-2019 - 22:15
Last modified 13-11-2019 - 18:15
Back to Top