CWE ID: 620
Name: Unverified Password Change
Beim Festlegen eines neuen Passworts für einen Benutzer verlangt das Produkt keine Kenntnis des ursprünglichen Passworts oder die Verwendung einer anderen Form der Authentication.
Dies könnte von einem Angreifer ausgenutzt werden, um Passwörter für einen anderen Benutzer zu ändern und somit die mit diesem Benutzer verbundenen Privileges zu erlangen.
Effektivität: Unknown
Beschreibung: Bei der Aufforderung zur Passwortänderung sollte der Benutzer aufgefordert werden, das ursprüngliche Passwort zusammen mit dem neuen Passwort anzugeben.
Effektivität: Unknown
Beschreibung: Die Funktionalität zur Passwortwiederherstellung sollte vermieden werden. Sollte sie dennoch implementiert sein, ist sicherzustellen, dass lediglich Informationen an den berechtigten Benutzer weitergegeben werden, beispielsweise durch die Verwendung einer E-Mail-Adresse oder einer Challenge Question, die der legitime Benutzer in der Vergangenheit bereits hinterlegt hat. Die Möglichkeit für den aktuellen Benutzer, diese Identifikationsdaten zu ändern, darf erst nach korrekter Passwortangabe gewährt werden.
