The default login template (/vgn/login) in Vignette StoryServer 5 and Vignette V/5 generates different responses whether a user exists or not, which allows remote attackers to identify valid usernames via brute force attacks.
Name | Vendor | Start Version | End Version |
---|---|---|---|
Content_suite | Vignette | 5.0 | 5.0 |
Content_suite | Vignette | 6.0 | 6.0 |
Content_suite | Vignette | 7.0 | 7.0 |
Storyserver | Vignette | 4.0 | 4.0 |
Storyserver | Vignette | 4.1 | 4.1 |
Storyserver | Vignette | 5.0 | 5.0 |
Vignette | Vignette | 5.0 | 5.0 |