Vulnerabilidad en langgenius/dify v0.10.1 (CVE-2025-1796)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
20/03/2025
Última modificación:
20/03/2025
Descripción
Una vulnerabilidad en langgenius/dify v0.10.1 permite a un atacante tomar el control de cualquier cuenta, incluidas las de administrador, explotando un generador de números pseudoaleatorios (PRNG) débil, utilizado para generar códigos de restablecimiento de contraseña. La aplicación utiliza `random.randint` para este propósito, que no es apto para uso criptográfico y puede ser descifrado. Un atacante con acceso a herramientas de flujo de trabajo puede extraer la salida del PRNG y predecir futuros códigos de restablecimiento de contraseña, lo que compromete completamente la aplicación.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA