Thanks for mentioning. I suppose such captcha plugin exists not only for MODx Revolution, but also for MODx Evolution versions.

This plugin can solve all mentioned issues in login form. And if this captcha is also placed at password recovery form, then it’ll solve IAA hole at it too.

The problem of MODx that this Captcha protection isn’t built-in, but made as third-party module. So by default CMS is vulnerable and admins of web sites must find solution (or made such one) by themselves.

В случае MODx Revolution ситуация точно такая же, как описанная мною ранее для MODx Evolution. Среди сайтов на Revolution мне не попадались таковые с включенной блокировкой (а на Evolution попался лишь один), потому-то и пишу о Brute Force. Только ты мне написал, что у тебя имеются такая блокировка (т.е. у себя на сайте ты её включил), а сколько таких среди всех сайтов на Evolution и на Revolution.

Всё сводится к дефолтным настройкам - по умолчанию блокировка д.б. включена, иначе это уязвимость движка (включит ли админ защиту или нет, главное, чтобы в движке она была включена по умолчанию). А в идеале в движке вообще не д.б. небезопасных опций.

Более того, как я описал в записе об Evolution, данная защита неэффективна и есть методы её обхода. А т.к. эта защита перекочевала в Revolution, то это и к ней относится.

Также эта защита имеет DoS уязвимость - данная атака возможна из-за CSRF-уязвимости в форме логина. А также AoF (Login Enumeration) уязвимость (обе дыры появляются при включенной блокировке). Они описаны во второй записи об уязвимостях в MODx Evolution. Если бы разработчики поставили капчу, то это решило бы BF, CSRF и другие уязвимости, и не допустило бы новых уязвимостей.

“Captcha 3.3.0-pl
Released Jul 13, 2012 by bobray
This utility provides captcha verification in the MODx Revolution Manager login”.