Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Airsonic (CVE-2019-10907)
Gravedad:
MediaMedia
Publication date: 07/04/2019
Last modified:
24/08/2020
Descripción:
Airsonic 10.2.1 utiliza por defecto el mecanismo remember-me basado en MD5 de Spring con una clave fija de airsonic en GlobalSecurityConfig.java. Un atacante capaz de capturar cookies podría simplemente obtener las contraseñas offline de los usuarios asociados mediante el uso de fuerza bruta.
Vulnerabilidad en Airsonic (CVE-2019-10908)
Gravedad:
AltaAlta
Publication date: 07/04/2019
Last modified:
09/04/2019
Descripción:
En Airsonic 10.2.1, RecoverController.java genera contraseñas mediante org.apache.commons.lang.RandomStringUtils que utiliza ava.util.Random internamente. Este Pseudo Random Number Generator (PRNG) tiene una semilla de 48-bit que puede ser sometido fácilmente a un ataque de fuerza bruta, conduciendo a ataques de escalado de privilegios.