CVE-2024-39912

web-auth/webauthn-lib is an open source set of PHP libraries and a Symfony bundle to allow developers to integrate that authentication mechanism into their web applications. The ProfileBasedRequestOptionsBuilder method returns allowedCredentials without any credentials if no username was found. When WebAuthn is used as the first or only authentication method, an attacker can enumerate usernames based on the absence of the `allowedCredentials` property in the assertion options response. This allows enumeration of valid or invalid usernames. By knowing which usernames are valid, attackers can focus their efforts on a smaller set of potential targets, increasing the efficiency and likelihood of successful attacks. This issue has been addressed in version 4.9.0 and all users are advised to upgrade. There are no known workarounds for this vulnerability.
Configurations

No configuration.

History

21 Nov 2024, 09:28

Type Values Removed Values Added
References () https://github.com/web-auth/webauthn-framework/commit/64de11f6cddc71e56c76e0cc4573bf94d02be045 - () https://github.com/web-auth/webauthn-framework/commit/64de11f6cddc71e56c76e0cc4573bf94d02be045 -
References () https://github.com/web-auth/webauthn-framework/security/advisories/GHSA-875x-g8p7-5w27 - () https://github.com/web-auth/webauthn-framework/security/advisories/GHSA-875x-g8p7-5w27 -

16 Jul 2024, 13:43

Type Values Removed Values Added
Summary
  • (es) web-auth/webauthn-lib es un conjunto de librerías PHP de código abierto y un paquete Symfony para permitir a los desarrolladores integrar ese mecanismo de autenticación en sus aplicaciones web. El método ProfileBasedRequestOptionsBuilder devuelve AllowCredentials sin ninguna credencial si no se encontró ningún nombre de usuario. Cuando se utiliza WebAuthn como primer o único método de autenticación, un atacante puede enumerar los nombres de usuario basándose en la ausencia de la propiedad "allowedCredentials" en la respuesta de las opciones de aserción. Esto permite la enumeración de nombres de usuario válidos o no válidos. Al saber qué nombres de usuario son válidos, los atacantes pueden centrar sus esfuerzos en un conjunto más pequeño de objetivos potenciales, aumentando la eficiencia y la probabilidad de ataques exitosos. Este problema se solucionó en la versión 4.9.0 y se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.

15 Jul 2024, 20:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-07-15 20:15

Updated : 2024-11-21 09:28


NVD link : CVE-2024-39912

Mitre link : CVE-2024-39912

CVE.ORG link : CVE-2024-39912


JSON object : View

Products Affected

No product.

CWE
CWE-204

Observable Response Discrepancy