Vulnerabilidad en gaizhenbiao/chuanhuchatgpt (CVE-2024-5124)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

06/06/2024

Última modificación:

04/11/2024

Descripción

Existe una vulnerabilidad de ataque sincronizado en el repositorio gaizhenbiao/chuanhuchatgpt, específicamente dentro de la lógica de comparación de contraseñas. La vulnerabilidad está presente en la versión 20240310 del software, donde las contraseñas se comparan utilizando el operador &#39;=" en Python. Este método de comparación permite a un atacante adivinar contraseñas basándose en el momento de la comparación de cada carácter. El problema surge del segmento de código que verifica una contraseña para un nombre de usuario en particular, lo que puede llevar a la exposición de información confidencial a un actor no autorizado. Un atacante que aproveche esta vulnerabilidad podría adivinar las contraseñas de los usuarios, comprometiendo la seguridad del sistema.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno