回答編集履歴
1
引用先が間違っていたので修正します。論旨に変更はありません。
answer
CHANGED
|
@@ -1,7 +1,7 @@
|
|
|
1
1
|
アカウントロック不備はCWE-307が割り当てられています(Improper Restriction of Excessive Authentication Attempts (過度な認証試行の不適切な制限))。で、CWE-307が割り当てられている脆弱性を調べてみると、たとえば、CVE-2020-14484があります。
|
|
2
2
|
|
|
3
3
|
> OpenClinic GA versions 5.09.02 and 5.89.05b may allow an attacker to bypass the system’s account lockout protection, which may allow brute force password attacks.
|
|
4
|
-
[NVD-CVE-
|
|
4
|
+
[NVD - CVE-2020-14484](https://nvd.nist.gov/vuln/detail/CVE-2020-14484)
|
|
5
5
|
|
|
6
6
|
アカウントロックをバイパスできると説明されていますが、この脆弱性のCVSSv3は9.8(Critical)です(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)。CWE-307の他の脆弱性も、調べた範囲では同じでした…まぁ、同じでないと、それはそれでおかしいわけですが。
|
|
7
7
|
|