Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en free-one-api (CVE-2024-56516)

Gravedad CVSS v4.0:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
30/12/2024
Última modificación:
30/12/2024

Descripción

free-one-api permite a los usuarios acceder a grandes librerías de ingeniería inversa de modelos de lenguaje a través del formato estándar de API de OpenAI. En versiones hasta la 1.0.1 incluida, se utiliza MD5 para codificar las contraseñas antes de enviarlas al backend. MD5 es un algoritmo de codificación criptográficamente defectuoso y ya no se considera seguro para el almacenamiento o la transmisión de contraseñas. Es vulnerable a ataques de colisión y se puede descifrar fácilmente con hardware moderno, lo que expone las credenciales de los usuarios a un posible riesgo. Al momento de la publicación, no se ha enviado un reemplazo para MD5 al repositorio de GitHub de free-one-api.

Impacto

Vector 4.0
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 6.90 MEDIA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Bajo
Integrity (VI): Ninguno
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0
6.90
Gravedad 4.0
MEDIA

Referencias a soluciones, herramientas e información