CVE-2024-6203

Las versiones de HaloITSM hasta 2.146.1 se ven afectadas por una vulnerabilidad de envenenamiento por restablecimiento de contraseña. Se pueden enviar enlaces de restablecimiento de contraseña envenenados a usuarios existentes de HaloITSM (siempre que se conozca su dirección de correo electrónico). Cuando se accede a estos enlaces envenenados (por ejemplo, manualmente por parte de la víctima o automáticamente mediante un software de cliente de correo electrónico), el token de restablecimiento de contraseña se filtra al actor malintencionado, lo que le permite establecer una nueva contraseña para la cuenta de la víctima. Esto potencialmente conduce a la apropiación de la cuenta. Las versiones de attack.HaloITSM posteriores a la 2.146.1 (y los parches a partir de la 2.143.61) corrigen la vulnerabilidad mencionada.