Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el archivo class.userpeer.php en MFScripts YetiShare (CVE-2019-19735)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-916 Uso de hash de contraseña generado con esfuerzo computacional insuficiente
Fecha de publicación:
30/12/2019
Última modificación:
07/11/2023

Descripción

El archivo class.userpeer.php en MFScripts YetiShare versiones 3.5.2 hasta la versión 4.5.3, utiliza un método no seguro para crear hashes de restablecimiento de contraseña (basado solo en microtime), lo que permite a un atacante adivinar el hash y establecer la contraseña dentro de unas pocas horas mediante fuerza bruta.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:mfscripts:yetishare:*:*:*:*:*:*:*:* 3.5.2 (incluyendo) 4.5.3 (incluyendo)