// For flags

CVE-2021-37151

 

Severity Score

5.3
*CVSS v3.1

Exploit Likelihood

*EPSS

Affected Versions

*CPE

Public Exploits

0
*Multiple Sources

Exploited in Wild

-
*KEV

Decision

-
*SSVC
Descriptions

CyberArk Identity 21.5.131, when handling an invalid authentication attempt, sometimes reveals whether the username is valid. In certain authentication policy configurations with MFA, the API response length can be used to differentiate between a valid user and an invalid one (aka Username Enumeration). Response differentiation enables attackers to enumerate usernames of valid application users. Attackers can use this information to leverage brute-force and dictionary attacks in order to discover valid account information such as passwords.

CyberArk Identity versión 21.5.131, cuando maneja un intento de autenticación no válido, a veces revela si el nombre de usuario es válido. En determinadas configuraciones de políticas de autenticación con MFA, la longitud de la respuesta de la API puede ser usada para diferenciar entre un usuario válido y uno no válido (también se conoce como Enumeración de Nombres de Usuario). La diferenciación de la respuesta permite a atacantes enumerar los nombres de usuario de los usuarios válidos de la aplicación. Los atacantes pueden usar esta información para aprovechar los ataques de fuerza bruta y de diccionario con el fin de detectar información válida de la cuenta, como las contraseñas

*Credits: N/A
CVSS Scores
Attack Vector
Network
Attack Complexity
Low
Privileges Required
None
User Interaction
None
Scope
Unchanged
Confidentiality
Low
Integrity
None
Availability
None
Attack Vector
Network
Attack Complexity
Low
Authentication
None
Confidentiality
Partial
Integrity
None
Availability
None
* Common Vulnerability Scoring System
SSVC
  • Decision:-
Exploitation
-
Automatable
-
Tech. Impact
-
* Organization's Worst-case Scenario
Timeline
  • 2021-07-21 CVE Reserved
  • 2021-09-01 CVE Published
  • 2024-08-04 CVE Updated
  • 2025-03-30 EPSS Updated
  • ---------- Exploited in Wild
  • ---------- KEV Due Date
  • ---------- First Exploit
CWE
  • CWE-203: Observable Discrepancy
CAPEC
References (2)
URL Tag Source
https://www.cyberark.com/products X_refsource_misc
https://www.gov.il/en/departments/faq/cve_advisories X_refsource_misc
URL Date SRC
URL Date SRC
URL Date SRC
Affected Vendors, Products, and Versions
Vendor Product Version Other Status
Vendor Product Version Other Status <-- --> Vendor Product Version Other Status
Cyberark
Search vendor "Cyberark"
 Identity
Search vendor "Cyberark" for product "Identity"
 < 21.11.133
Search vendor "Cyberark" for product "Identity" and version " < 21.11.133"
-
Affected