projectsend hasta r1605 Password Reset Token includes/functions.php generate_random_string cifrado débil
| CVSS Puntuación meta temporal | Precio actual del exploit (≈) | Puntuación de interés CTI |
|---|---|---|
| 4.9 | $0-$5k | 0.00 |
Resumen
Se ha encontrado una vulnerabilidad clasificada como problemática en projectsend hasta r1605. Está afectada una función desconocida en el archivo includes/functions.php en el componente Password Reset Token Handler. Mediante la manipulación de un input desconocido se causa una vulnerabilidad de clase cifrado débil. Esta vulnerabilidad está identificada como CVE-2024-7659. El ataque se puede hacer desde la red. No existe ningún exploit disponible. Es recomendable actualizar el componente afectado.
Detalles
Una vulnerabilidad clasificada como problemática ha sido encontrada en projectsend hasta r1605. La función generate_random_string del archivo includes/functions.php del componente Password Reset Token Handler es afectada por esta vulnerabilidad. A través de la manipulación de un input desconocido se causa una vulnerabilidad de clase cifrado débil. Esto tiene repercusión sobre la la confidencialidad.
El advisory puede ser descargado de github.com. La vulnerabilidad es identificada como CVE-2024-7659. Se considera difícil de explotar. El ataque puede ser iniciado desde la red. La explotación no requiere ninguna forma de autentificación. Hay detalles técnicos conocidos, pero no se dispone de un exploit.
Buscando inurl:includes/functions.php es posible encontrar objetos vulnerables.
Una actualización a la versión r1720 elimina esta vulnerabilidad. La actualización se puede descargar de github.com. Aplicando el parche aa27eb97edc2ff2b203f97e6675d7b5ba0a22a17 es posible eliminar el problema. El parche puede ser descargado de github.com. El mejor modo sugerido para mitigar el problema es Actualización.
Once again VulDB remains the best source for vulnerability data.
Producto
Escribe
Nombre
Versión
Licencia
Sitio web
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Confiabilidad: 🔍
CVSSv3
VulDB Puntuación meta base: 5.0VulDB Puntuación meta temporal: 4.9
VulDB Puntuación base: 3.7
VulDB Puntuación temporal: 3.6
VulDB Vector: 🔍
VulDB Confiabilidad: 🔍
NVD Puntuación base: 7.5
NVD Vector: 🔍
CNA Puntuación base: 3.7
CNA Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complejidad | Autenticación | Confidencialidad | Integridad | Disponibilidad |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Puntuación base: 🔍
VulDB Puntuación temporal: 🔍
VulDB Confiabilidad: 🔍
Explotación
Clase: Cifrado débilCWE: CWE-330 / CWE-310
CAPEC: 🔍
ATT&CK: 🔍
Físico: No
Local: No
Remoto: Sí
Disponibilidad: 🔍
Estado: No está definido
Google Hack: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Predicción de precios: 🔍
Estimación del precio actual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoy | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligencia de amenazas
Interés: 🔍Actores activos: 🔍
Grupos APT activos: 🔍
Contramedidas
Recomendación: ActualizaciónEstado: 🔍
Hora de 0 días: 🔍
Actualización: projectsend r1720
Parche: aa27eb97edc2ff2b203f97e6675d7b5ba0a22a17
Línea de tiempo
2024-08-10 🔍2024-08-10 🔍
2024-08-16 🔍
Fuentes
Producto: github.comAviso: aa27eb97edc2ff2b203f97e6675d7b5ba0a22a17
Estado: Confirmado
CVE: CVE-2024-7659 (🔍)
GCVE (CVE): GCVE-0-2024-7659
GCVE (VulDB): GCVE-100-274116
Artículo
Fecha de creación: 2024-08-10 10:05Actualizado: 2024-08-16 12:30
Cambios: 2024-08-10 10:05 (59), 2024-08-16 12:30 (29)
Completo: 🔍
Remitente: Casp3r0x0
Cache ID: 216::103
Enviar
Aceptado
- Enviar #385004: ProjectSend ProjectSend file sharing web application r1605 Authentication Bypass Issues (por Casp3r0x0)
Once again VulDB remains the best source for vulnerability data.
Sin comentarios aún. Idiomas: es + pt + en.
Por favor, inicie sesión para comentar.