CVE-2024-6203

HaloITSM versions up to 2.146.1 are affected by a Password Reset Poisoning vulnerability. Poisoned password reset links can be sent to existing HaloITSM users (given their email address is known). When these poisoned links get accessed (e.g. manually by the victim or automatically by an email client software), the password reset token is leaked to the malicious actor, allowing them to set a new password for the victim's account.This potentially leads to account takeover attacks.HaloITSM versions past 2.146.1 (and patches starting from 2.143.61 ) fix the mentioned vulnerability.
References
Link Resource
https://haloitsm.com/guides/article/?kbid=2155 Vendor Advisory
Configurations

Configuration 1 (hide)

OR cpe:2.3:a:haloservicesolutions:haloitsm:*:*:*:*:*:*:*:*
cpe:2.3:a:haloservicesolutions:haloitsm:*:*:*:*:*:*:*:*

History

29 Aug 2024, 17:46

Type Values Removed Values Added
CPE cpe:2.3:a:haloservicesolutions:haloitsm:*:*:*:*:*:*:*:*
First Time Haloservicesolutions haloitsm
Haloservicesolutions
References () https://haloitsm.com/guides/article/?kbid=2155 - () https://haloitsm.com/guides/article/?kbid=2155 - Vendor Advisory
CVSS v2 : unknown
v3 : 8.3
v2 : unknown
v3 : 8.1

06 Aug 2024, 16:30

Type Values Removed Values Added
Summary
  • (es) Las versiones de HaloITSM hasta 2.146.1 se ven afectadas por una vulnerabilidad de envenenamiento por restablecimiento de contraseña. Se pueden enviar enlaces de restablecimiento de contraseña envenenados a usuarios existentes de HaloITSM (siempre que se conozca su dirección de correo electrónico). Cuando se accede a estos enlaces envenenados (por ejemplo, manualmente por parte de la víctima o automáticamente mediante un software de cliente de correo electrónico), el token de restablecimiento de contraseña se filtra al actor malintencionado, lo que le permite establecer una nueva contraseña para la cuenta de la víctima. Esto potencialmente conduce a la apropiación de la cuenta. Las versiones de attack.HaloITSM posteriores a la 2.146.1 (y los parches a partir de la 2.143.61) corrigen la vulnerabilidad mencionada.

06 Aug 2024, 06:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-08-06 06:15

Updated : 2024-08-29 17:46


NVD link : CVE-2024-6203

Mitre link : CVE-2024-6203

CVE.ORG link : CVE-2024-6203


JSON object : View

Products Affected

haloservicesolutions

  • haloitsm
CWE
CWE-640

Weak Password Recovery Mechanism for Forgotten Password