Vulnerabilidad en el archivo class.userpeer.php en MFScripts YetiShare (CVE-2019-19735)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-916
Uso de hash de contraseña generado con esfuerzo computacional insuficiente
Fecha de publicación:
30/12/2019
Última modificación:
07/11/2023
Descripción
El archivo class.userpeer.php en MFScripts YetiShare versiones 3.5.2 hasta la versión 4.5.3, utiliza un método no seguro para crear hashes de restablecimiento de contraseña (basado solo en microtime), lo que permite a un atacante adivinar el hash y establecer la contraseña dentro de unas pocas horas mediante fuerza bruta.
Impacto
Puntuación base 3.x
9.10
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
6.40
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:mfscripts:yetishare:*:*:*:*:*:*:*:* | 3.5.2 (incluyendo) | 4.5.3 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página