CVE-2025-12364Слабая политика паролей.Эта проблема затрагивает BLU-IC2: до 1.19.5; BLU-IC4: до 1.19.5.
CVE-2026-8760Логин с OTP-плагин для WordPress уязвим для обхода аутентификации во всех версиях до 1,6. Это связано с неполным исправлением для CVE-2024-11178: проверка, добавленная к `otpl_login_action()`, была размещена только внутри ветки ОПТ-поколения и никогда не оценивается на ветке OTP-валидации, а сгенерированный 6-значный OTP также не истекает. Это позволяет неаутентифицированным злоумышленникам грубо принуждать к ОПТ-пространству с 900,000 значений для любой учетной записи пользователя (включая администраторов) и получить действующую `wp_set_auth_cookie()` сессию, что приведет к полному компромиссу сайта.
CVE-2026-43914Vaultwarden - это сервер, совместимый с Bitwarden, написанный на Rust. До 1.35.4 в Vaultwarden есть уязвимость безопасности, которая позволяет обойти защиту от силы логина, если включена электронная почта 2fa. Если электронная почта 2fa включена, незащищенная 2fa-функция send_email_login (email.rs, api endpoint /api/two-factor/send-email-login) также действует как оракул, определяющий, верна ли комбинация имя-пароль пользователя. Нападающий может злоупотреблять этой конечной точкой паролей грубой силы без ограничения скорости. Это работает даже для пользователей, у которых нет настроенной электронной почты 2fa. Эта уязвимость фиксируется в разделе 1.35.4.
CVE-2026-25715Интерфейс веб-управления устройства позволяет администратору
имя пользователя и пароль, которые будут установлены на пустые значения. После применения,
устройство разрешает аутентификацию с пустыми учетными записями через Интернет
интерфейс управления и сервис Telnet. Это эффективно отключает
аутентификация по всем критическим каналам управления, что позволяет
Смежный злоумышленник, чтобы получить полный административный контроль без
Полномочия.
CVE-2026-22278Версии Dell PowerScale OneFS до 9.13.0.0 содержат неправильную уязвимость попыток аутентификации. Неаутентифицированный злоумышленник с удаленным доступом потенциально может использовать эту уязвимость, что приведет к несанкционированному доступу.
CVE-2025-7393Модуль Mail Login для Drupal содержит уязвимость обхода защиты от атак перебора, позволяющую злоумышленникам обойти защиту и потенциально получить доступ к учетной записи. Рекомендуется обновить модуль до версии 3.2.0 или 4.2.0 [1].
Источники:
- [1] https://www.drupal.org/sa-contrib-2025-088
CVE-2025-63807Проблема была обнаружена в weijiang1994 университет-bbs (он же Blogin) в купи 9e06bab430bfc729f27b4284ba7570db3b11ce84 (2025-01-13). Слабый механизм генерации проверочных кодов в сочетании с ограничением скорости пропуска позволяет злоумышленникам выполнять атаки грубой силы на проверочные коды без аутентификации. Успешная эксплуатация может привести к поглощению учетной записи с помощью сброса пароля или других методов обхода аутентификации.
CVE-2025-63747QaTraq 6.9.2 поставляется с административными учетными данных, которые включены в установках по умолчанию и позволяют немедленно войти в систему через страницу входа в веб-приложения. Поскольку учетная запись предоставляет административные привилегии в конфигурации по умолчанию, злоумышленник, который может попасть на страницу входа, может получить административный доступ.
CVE-2025-58587Приложение не реализует достаточные меры для предотвращения нескольких неудачных попыток аутентификации в течение короткого периода времени, что позволяет злоумышленнику угадывать учетные данные пользователя.
CVE-2025-56221В продукте SigningHub версии 8.6.8 (и ниже) отсутствует ограничение количества попыток входа в систему, что позволяет злоумышленнику без ограничения выполнять подбор паролей (brute‑force). Аутентификационный API /authenticate не реализует rate‑limit или блокировку учётных записей, повышая риск компрометации. Рекомендуется внедрить период охлаждения или ограничение запросов. Уязвимость исправлена в версиях > 8.6.8. [1] https://github.com/saykino/CVE-2025-56221
CVE-2025-55269HCL Aftermarket DPC подвержен уязвимости Weak Password Policy, которая облегчает злоумышленникам угадывание слабых паролей или использование методов грубой силы для получения несанкционированного доступа к учетным записям пользователей.
CVE-2025-55252На HCL AION версии 2 влияет уязвимость политики слабого пароля. Это может позволить использовать легко угадываемые пароли, что может привести к несанкционированному доступу.
CVE-2025-53963Проблема была обнаружена на устройствах Thermo Fisher Fisher Ion Torrent OneTouch 2 INS1005527. Они запускают сервер SSH, доступный через порт 22 по умолчанию. Корневая учетная запись имеет слабый пароль по умолчанию ionadmin, и политика смены пароля для основной учетной записи не соблюдается. Таким образом, злоумышленник с сетевым подключением может добиться выполнения корневого кода. ПРИМЕЧАНИЕ: Эта уязвимость затрагивает только продукты, которые больше не поддерживаются со стороны обслуживающего персонала.
CVE-2025-49195Механизм входа на FTP-сервер не ограничивает попытки аутентификации, что позволяет злоумышленнику подобрать пароль пользователя и потенциально скомпрометировать FTP-сервер [1][2][3][4][5].
Источники:
- [1] https://sick.com/psirt
- [2] https://cdn.sick.com/media/docs/1/11/411/Special_information_CYBERSECURITY_BY_SICK_en_IM0084411.PDF
- [3] https://www.cisa.gov/resources-tools/resources/ics-recommended-practices
- [4] https://www.first.org/cvss/calculator/3.1
- [5] https://www.sick.com/.well-known/csaf/white/2025/sca-2025-0007.pdf
CVE-2025-48187RAGFlow версии до 0.18.1 позволяет осуществить захват аккаунта из-за возможности проведения успешных атак методом перебора против кодов подтверждения email для выполнения произвольной регистрации аккаунта, входа и сброса пароля. Коды состоят из шести цифр, и отсутствует ограничение скорости [1].
Дополнительная информация:
Уязвимость затрагивает конечные точки /api/verify-code и /api/signup, позволяя злоумышленникам регистрировать произвольные учетные записи, входить в систему и сбрасывать пароли [2].
Источники:
- [1] https://github.com/infiniflow/ragflow/commits/main/
- [2] https://www.cnblogs.com/qiushuo/p/18881084