Vulnerability Details CVE-2020-10185
The sync endpoint in YubiKey Validation Server before 2.40 allows remote attackers to replay an OTP. NOTE: this issue is potentially relevant to persons outside Yubico who operate a self-hosted OTP validation service with a non-default configuration such as an open sync pool; the issue does NOT affect YubiCloud.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.006
EPSS Ranking 68.2%
CVSS Severity
CVSS v3 Score 8.6
CVSS v2 Score 6.8
References
- https://github.com/Yubico/yubikey-val/releases/tag/yubikey-val-2.40
- https://lists.debian.org/debian-lts-announce/2020/03/msg00014.html
- https://www.yubico.com/support/security-advisories/ysa-2020-01/
- https://github.com/Yubico/yubikey-val/releases/tag/yubikey-val-2.40
- https://lists.debian.org/debian-lts-announce/2020/03/msg00014.html
- https://www.yubico.com/support/security-advisories/ysa-2020-01/
Products affected by CVE-2020-10185
-
cpe:2.3:a:yubico:yubikey_one_time_password_validation_server:1.1
-
cpe:2.3:a:yubico:yubikey_one_time_password_validation_server:2.0
-
cpe:2.3:a:yubico:yubikey_one_time_password_validation_server:2.1
-
cpe:2.3:a:yubico:yubikey_one_time_password_validation_server:2.10
-
cpe:2.3:a:yubico:yubikey_one_time_password_validation_server:2.11
-
cpe:2.3:a:yubico:yubikey_one_time_password_validation_server:2.12
-
cpe:2.3:a:yubico:yubikey_one_time_password_validation_server:2.13
-
cpe:2.3:a:yubico:yubikey_one_time_password_validation_server:2.14
-
cpe:2.3:a:yubico:yubikey_one_time_password_validation_server:2.15
-
cpe:2.3:a:yubico:yubikey_one_time_password_validation_server:2.16
-
cpe:2.3:a:yubico:yubikey_one_time_password_validation_server:2.17
-
cpe:2.3:a:yubico:yubikey_one_time_password_validation_server:2.18
-
cpe:2.3:a:yubico:yubikey_one_time_password_validation_server:2.19
-
cpe:2.3:a:yubico:yubikey_one_time_password_validation_server:2.2
-
cpe:2.3:a:yubico:yubikey_one_time_password_validation_server:2.20
-
cpe:2.3:a:yubico:yubikey_one_time_password_validation_server:2.21
-
cpe:2.3:a:yubico:yubikey_one_time_password_validation_server:2.22
-
cpe:2.3:a:yubico:yubikey_one_time_password_validation_server:2.23
-
cpe:2.3:a:yubico:yubikey_one_time_password_validation_server:2.24
-
cpe:2.3:a:yubico:yubikey_one_time_password_validation_server:2.25
-
cpe:2.3:a:yubico:yubikey_one_time_password_validation_server:2.26
-
cpe:2.3:a:yubico:yubikey_one_time_password_validation_server:2.27
-
cpe:2.3:a:yubico:yubikey_one_time_password_validation_server:2.28
-
cpe:2.3:a:yubico:yubikey_one_time_password_validation_server:2.29
-
cpe:2.3:a:yubico:yubikey_one_time_password_validation_server:2.3
-
cpe:2.3:a:yubico:yubikey_one_time_password_validation_server:2.30
-
cpe:2.3:a:yubico:yubikey_one_time_password_validation_server:2.31
-
cpe:2.3:a:yubico:yubikey_one_time_password_validation_server:2.32
-
cpe:2.3:a:yubico:yubikey_one_time_password_validation_server:2.33
-
cpe:2.3:a:yubico:yubikey_one_time_password_validation_server:2.34
-
cpe:2.3:a:yubico:yubikey_one_time_password_validation_server:2.35
-
cpe:2.3:a:yubico:yubikey_one_time_password_validation_server:2.36
-
cpe:2.3:a:yubico:yubikey_one_time_password_validation_server:2.37
-
cpe:2.3:a:yubico:yubikey_one_time_password_validation_server:2.38
-
cpe:2.3:a:yubico:yubikey_one_time_password_validation_server:2.39
-
cpe:2.3:a:yubico:yubikey_one_time_password_validation_server:2.4
-
cpe:2.3:a:yubico:yubikey_one_time_password_validation_server:2.5
-
cpe:2.3:a:yubico:yubikey_one_time_password_validation_server:2.6
-
cpe:2.3:a:yubico:yubikey_one_time_password_validation_server:2.7
-
cpe:2.3:a:yubico:yubikey_one_time_password_validation_server:2.8
-
cpe:2.3:a:yubico:yubikey_one_time_password_validation_server:2.9