Bullhorn BRS 密码重置端点缺乏速率限制导致邮件洪水

用户希望我总结一张关于安全漏洞的网页截图。 我需要提取以下关键信息： 1. 漏洞概述 (Vulnerability Overview): 标题、描述、严重性、CVSS评分等。 2. 影响范围 (Impact/Scope): 受影响的软件、版本、组件。 3. 修复方案 (Remediation): 官方建议的修复方法、补丁版本。 4. POC/Exploit Code: 如果有的话，完整提取。 分析截图内容： 标题: Unauthenticated Password Reset Endpoint Lacks Rate Limiting, Enabling Email Flooding (未认证的密码重置端点缺乏速率限制，导致邮件洪水攻击)。 描述 (Description): 这是一个关于 Bullhorn 招聘软件的问题。 问题在于 端点。 该端点允许未认证用户请求密码重置。 缺乏速率限制（Rate Limiting）。 攻击者可以针对特定邮箱地址发送大量请求，导致邮件洪水（Email Flooding）。 这可能导致拒绝服务（DoS）或垃圾邮件问题。 严重性 (Severity): Medium (中等)。 CVSS Score: 5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)。 受影响产品 (Affected Products): Bullhorn Recruiting Suite (BRS) 2024.2 及更早版本。 修复方案 (Remediation): 升级到 Bullhorn Recruiting Suite (BRS) 2024.3 或更高版本。 或者应用特定的补丁（虽然截图主要强调升级）。 截图中的 "Remediation" 部分提到：Bullhorn 已发布修复补丁。建议升级到 BRS 2024.3。 POC/Exploit Code: 截图中有 "Proof of Concept (PoC)" 部分。 包含一个 命令。 命令内容： 还有一个 "Impact" 部分，列出了可能的攻击场景，但这不算代码。 还有一个 "Mitigation" 部分，提到可以通过配置 WAF 或 API 网关来限制请求频率。 构建总结 (Markdown格式): 标题: 未认证的密码重置端点缺乏速率限制，导致邮件洪水攻击 漏洞概述: Bullhorn 招聘软件 (BRS) 的密码重置 API 端点 ( ) 允许未认证用户请求密码重置，且缺乏速率限制。攻击者可利用此漏洞向特定邮箱发送大量重置邮件，造成邮件洪水攻击（Email Flooding）或拒绝服务（DoS）。 影响范围: Bullhorn Recruiting Suite (BRS) 2024.2 及更早版本。 修复方案: 升级到 Bullhorn Recruiting Suite (BRS) 2024.3 或更高版本。 POC代码: 提取截图中的 curl 命令。 检查细节: 截图中的 "Remediation" 部分明确写着 "Bullhorn has released a patch... Upgrade to Bullhorn Recruiting Suite (BRS) 2024.3 or later." 截图中的 "Proof of Concept (PoC)" 部分有一个 curl 命令。 截图中的 "Impact" 部分列出了 "Email Flooding" 和 "Denial of Service (DoS)"。 最终输出结构: 漏洞总结 漏洞概述 ... 影响范围 ... 修复方案 ... POC/利用代码 开始撰写。 漏洞总结：Bullhorn 未认证密码重置端点缺乏速率限制 漏洞概述 Bullhorn 招聘软件（Bullhorn Recruiting Suite, BRS）中存在一个安全漏洞。其未认证的密码重置 API 端点（ ）缺乏速率限制（Rate Limiting）。攻击者可以利用此漏洞，向特定的电子邮件地址发送大量的密码重置请求。这会导致目标邮箱被大量重置邮件淹没（Email Flooding），进而可能引发拒绝服务（DoS）攻击或垃圾邮件问题。 严重性: 中等 (Medium) CVSS 评分: 5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L) 影响范围 受影响产品: Bullhorn Recruiting Suite (BRS) 受影响版本: 2024.2 及更早版本 修复方案 官方建议: 升级到 Bullhorn Recruiting Suite (BRS) 2024.3 或更高版本。 临时缓解措施:** 可以通过配置 Web 应用防火墙 (WAF) 或 API 网关来限制该端点的请求频率。 POC/利用代码 以下是截图中提供的概念验证（PoC）代码，用于演示如何触发该漏洞：

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

Bullhorn BRS 密码重置端点缺乏速率限制导致邮件洪水

同源更多文章

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

Bullhorn BRS 密码重置端点缺乏速率限制导致邮件洪水

同源更多文章

目标达成感谢每一位支持者 — 我们达成了 100% 目标！