Vulnerabilidad en Apache Answer (CVE-2024-40761)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-326
Fortaleza de cifrado inadecuada
Fecha de publicación:
25/09/2024
Última modificación:
10/07/2025
Descripción
Vulnerabilidad de fuerza de cifrado inadecuada en Apache Answer. Este problema afecta a Apache Answer: hasta la versión 1.3.5. El uso del valor MD5 del correo electrónico de un usuario para acceder a Gravatar es inseguro y puede provocar la filtración del correo electrónico del usuario. La recomendación oficial es utilizar SHA256 en su lugar. Se recomienda a los usuarios que actualicen a la versión 1.4.0, que soluciona el problema.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:answer:*:*:*:*:*:*:*:* | 1.3.5 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://lists.apache.org/thread/mmrhsfy16qwrw0pkv0p9kj40vy3sg08x
- http://www.openwall.com/lists/oss-security/2024/09/25/2
- http://www.openwall.com/lists/oss-security/2024/09/25/5
- http://www.openwall.com/lists/oss-security/2024/09/25/6
- http://www.openwall.com/lists/oss-security/2024/09/25/7
- http://www.openwall.com/lists/oss-security/2024/09/25/8
- http://www.openwall.com/lists/oss-security/2024/09/26/1
- http://www.openwall.com/lists/oss-security/2024/09/26/3
- http://www.openwall.com/lists/oss-security/2024/09/26/4
- http://www.openwall.com/lists/oss-security/2024/09/27/4
- http://www.openwall.com/lists/oss-security/2024/09/27/5
- http://www.openwall.com/lists/oss-security/2024/09/27/8