WatchGuard Fireware allows user enumeration, e.g., in the Firebox XML-RPC login handler. A login request that contains a blank password…
mitre·CWE-203·Published 2017-04-22
WatchGuard Fireware allows user enumeration, e.g., in the Firebox XML-RPC login handler. A login request that contains a blank password sent to the XML-RPC agent in Fireware v11.12.1 and earlier returns different responses for valid and invalid usernames. An attacker could exploit this vulnerability to enumerate valid usernames on an affected Firebox.
WatchGuard Fireware allows user enumeration, e.g., in the Firebox XML-RPC login handler. A login request that contains a blank password sent to the XML-RPC agent in Fireware v11.12.1 and earlier returns different responses for valid and invalid usernames. An attacker could exploit this vulnerability to enumerate valid usernames on an affected Firebox.
WatchGuard Fireware permite la enumeración de usuarios, por ejemplo, en el controlador de inicio de sesión Firebox XML-RPC. Una solicitud de inicio de sesión que contiene una contraseña en blanco enviada al agente XML-RPC en Fireware v11.12.1 y versiones anteriores devuelve respuestas diferentes para nombres de usuario válidos e inválidos. Un atacante podría explotar esta vulnerabilidad para enumerar nombres de usuario válidos en un Firebox afectado.
| Version | Type | Source | Base | Exp | Impact | Vector |
|---|---|---|---|---|---|---|
| 2.0 | Primary | NVD | 5.0 | 10.0 | 2.9 | AV:N/AC:L/Au:N/C:P/I:N/A:N |
| 3.0 | Primary | NVD | 5.3 | 3.9 | 1.4 | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |