CVE-2026-61458 in PasswordPusher
Sumário
de VulDB • 14/07/2026
O PasswordPusher anterior à versão 2.9.2 contém uma vulnerabilidade de força bruta no endpoint POST /p/:token/access que não possui limitação de taxa específica para a rota nem mecanismos de bloqueio por push (per-push lockout). Atacantes que conhecem um token de push podem tentar sistematicamente senhas em texto claro (passphrases) com 120 tentativas por minuto sem acionar nenhuma defesa ao nível do push, tornando as passphrases curtas ou derivadas de dicionários praticamente recuperáveis dentro de horas ou dias.
If you want to get best quality of vulnerability data, you may have to visit VulDB.