Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en langgenius/dify v0.10.1 (CVE-2025-1796)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
20/03/2025
Última modificación:
20/03/2025

Descripción

Una vulnerabilidad en langgenius/dify v0.10.1 permite a un atacante tomar el control de cualquier cuenta, incluidas las de administrador, explotando un generador de números pseudoaleatorios (PRNG) débil, utilizado para generar códigos de restablecimiento de contraseña. La aplicación utiliza `random.randint` para este propósito, que no es apto para uso criptográfico y puede ser descifrado. Un atacante con acceso a herramientas de flujo de trabajo puede extraer la salida del PRNG y predecir futuros códigos de restablecimiento de contraseña, lo que compromete completamente la aplicación.

Referencias a soluciones, herramientas e información