Yetishare
Уязвимости
14
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.01569
Распределение по критичности
Критический
2
Высокий
7
Средний
5
Низкий
0
Затронутые диапазоны версий
3.5.2–4.5.33.5.2–4.5.4≤ 3.5.2
Также сопоставлено как (исходные строки): yetishare
Топ уязвимостей
CVE-2019-20062MFScripts YetiShare v3.5.2 через v4.5.4 может позволить злоумышленнику сбросить пароль, используя просочившийся хеш (срок действия хеша не истекает до тех пор, пока он не будет использован).
CVE-2019-19735class.userpeer.php в MFScripts YetiShare 3.5.2–4.5.3 использует небезопасный метод создания хешей сброса пароля (основанный только на microtime), что позволяет злоумышленнику угадать хеш и установить пароль в течение нескольких часов путем перебора.
CVE-2019-20059payment_manage.ajax.php и различные *_manage.ajax.php в MFScripts YetiShare 3.5.2 через 4.5.4 напрямую вставляют значения из параметра sSortDir_0 в строку SQL. Это позволяет злоумышленнику внедрить свой собственный SQL и манипулировать запросом, обычно извлекая данные из базы данных, также известное как SQL-инъекция. ПРИМЕЧАНИЕ: эта проблема существует из-за неполного исправления для CVE-2019-19732.
CVE-2019-19737MFScripts YetiShare 3.5.2–4.5.3 не устанавливает флаг SameSite для файлов cookie сеанса, что позволяет отправлять файлы cookie в межсайтовых запросах и потенциально использовать их в атаках с подделкой межсайтовых запросов.
CVE-2019-19734_account_move_file_in_folder.ajax.php в MFScripts YetiShare 3.5.2 напрямую вставляет значения из параметра fileIds в строку SQL. Это позволяет злоумышленнику внедрять свой собственный SQL и манипулировать запросом, обычно извлекая данные из базы данных, он же SQL Injection.
CVE-2019-20061Электронное письмо с представлением пользователя в MFScripts YetiShare v3.5.2 через v4.5.4 может раскрыть (выбранный системой) пароль, если это электронное письмо отправляется в виде открытого текста. Другими словами, пользователю не разрешается выбирать свой собственный начальный пароль.
CVE-2019-20060MFScripts YetiShare v3.5.2 через v4.5.4 размещает конфиденциальную информацию в заголовке Referer. Если это просочится, третьи стороны могут обнаружить хеши сброса пароля, ссылки для удаления файлов или другую конфиденциальную информацию.
CVE-2019-19739MFScripts YetiShare 3.5.2–4.5.3 не устанавливает флаг Secure для файлов cookie сеанса, что позволяет отправлять файлы cookie по каналам открытого текста.
CVE-2019-19732translation_manage_text.ajax.php и различные *_manage.ajax.php в MFScripts YetiShare 3.5.2–4.5.3 напрямую вставляют значения из параметра aSortDir_0 и/или sSortDir_0 в строку SQL. Это позволяет злоумышленнику внедрять свой собственный SQL и манипулировать запросом, обычно извлекая данные из базы данных, он же SQL Injection.
CVE-2019-19738log_file_viewer.php в MFScripts YetiShare 3.5.2–4.5.3 не очищает и не кодирует выходные данные из параметра lFile на странице, что позволило бы злоумышленнику ввести HTML или выполнить сценарии на сайте, он же XSS.
CVE-2019-19736MFScripts YetiShare 3.5.2–4.5.3 не устанавливает флаг HttpOnly для файлов cookie сеанса, что позволяет сценарию считывать файлы cookie, что потенциально может использоваться злоумышленниками для получения файлов cookie посредством межсайтового скриптинга.
CVE-2019-19733_get_all_file_server_paths.ajax.php (он же get_all_file_server_paths.ajax.php) в MFScripts YetiShare 3.5.2–4.5.3 не очищает и не кодирует выходные данные из параметра fileIds на странице, что позволило бы злоумышленнику ввести HTML или выполнить сценарии на сайте, он же XSS.
CVE-2019-19806_account_forgot_password.ajax.php в MFScripts YetiShare 3.5.2 до 4.5.3 отображает сообщение, указывающее, настроен ли адрес электронной почты для указанного имени учетной записи. Это может быть использовано злоумышленником для перечисления учетных записей путем угадывания адресов электронной почты.
CVE-2019-19805_account_forgot_password.ajax.php в MFScripts YetiShare 3.5.2 до 4.5.3 возвращает результат за разное время в зависимости от того, настроен ли адрес электронной почты для указанного имени учетной записи. Это может быть использовано злоумышленником для перечисления учетных записей путем угадывания адресов электронной почты.