一、 漏洞 CVE-2024-51478 基础信息
漏洞标题
YesWiki使用了不安全或有风险的加密算法
来源:AIGC 神龙大模型
漏洞描述信息
YesWiki是一款基于PHP编写的维基系统。在4.4.5版本之前,该系统在密码重置键的哈希处理中使用了强度较低的加密算法及硬编码的盐值,导致密码重置键可以被恢复并用于重置任意账户的密码。此漏洞在4.4.5版本中已被修复。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
来源:AIGC 神龙大模型
漏洞类别
使用已被攻破或存在风险的密码学算法
来源:AIGC 神龙大模型
漏洞标题
Use of a Broken or Risky Cryptographic Algorithm in YesWiki
来源:美国国家漏洞数据库 NVD
漏洞描述信息
YesWiki is a wiki system written in PHP. Prior to 4.4.5, the use of a weak cryptographic algorithm and a hard-coded salt to hash the password reset key allows it to be recovered and used to reset the password of any account. This issue is fixed in 4.4.5.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
使用已被攻破或存在风险的密码学算法
来源:美国国家漏洞数据库 NVD
漏洞标题
YesWiki 加密问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
YesWiki是法国YesWiki组织的一个用 PHP 编写的 wiki 系统。用于以协作方式创建和管理网站。 YesWiki 4.4.5之前版本存在加密问题漏洞,该漏洞使用了弱加密算法和硬编码对密码重置密钥进行哈希处理,导致密钥可被恢复并用于重置任何账户的密码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
加密问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-51478 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-51478 的情报信息

  • 标题: Use of a Broken or Risky Cryptographic Algorithm in YesWiki · Advisory · YesWiki/yeswiki · GitHub -- 🔗来源链接

    标签: x_refsource_CONFIRM

    神龙速读
    Use of a Broken or Risky Cryptographic Algorithm in YesWiki · Advisory · YesWiki/yeswiki · GitHub

  • 标题: Merge commit from fork · YesWiki/yeswiki@b5a8f93 · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    Merge commit from fork · YesWiki/yeswiki@b5a8f93 · GitHub

  • 标题: fix(user): make lostPassword use better hashed link · YesWiki/yeswiki@e128570 · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    fix(user): make lostPassword use better hashed link · YesWiki/yeswiki@e128570 · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2024-51478