CAPEC-112 · Перебор (Brute Force)

Сканер-ВСкаталог уязвимостей · v4.2

CAPEC-112МетаЧерновик

Абстракция: Мета

Статус: Черновик

Источник ↗

Перебор (Brute Force)

В данной атаке некий актив (информация, функциональность, удостоверение и т. д.) защищён конечным секретным значением. Злоумышленник пытается получить доступ к активу методом проб и ошибок, перебирая все возможные значения секрета в надежде найти то значение (или функционально эквивалентное ему), которое откроет доступ к активу.

Открыть в каталоге с фильтром CAPEC →

Связанные CWE

Продукт хранит или передаёт конфиденциальные данные с использованием схемы шифрования, которая теоретически корректна, однако не

Продукт использует недостаточно случайные числа или значения в контексте безопасности, зависящем от непредсказуемых чисел.

Продукт не требует от пользователей применения надёжных паролей.

Связанные уязвимости

CVE-2025-12478Non-Compliant TLS Configuration.This issue affects BLU-IC2: through 1.19.5; BLU-IC4: through 1.19.5 .

CVE-2025-12364Weak Password Policy.This issue affects BLU-IC2: through 1.19.5; BLU-IC4: through 1.19.5.

CVE-2020-6966В ApexPro Telemetry Server версий 4.2 и более ранних, CARESCAPE Telemetry Server v4.2 и более ранних, Clinical Information Center (CIC) версий 4.X и 5.X, CARESCAPE Central Station (CSCS) версии 1.X в уязвимых продуктах используется слабая схема шифрования для удаленного управления рабочим столом, что может позволить злоумышленнику получить удаленное выполнение кода устройств в сети.

CVE-2019-0007Программное обеспечение серии vMX использует предсказуемый IP ID Sequence Number. Это делает систему, а также клиентов, подключающихся через устройство, восприимчивыми к семейству атак, которые основаны на использовании предсказуемых IP ID Sequence Number в качестве основного метода атаки. Эта проблема была обнаружена во время внутреннего тестирования безопасности продукта. Уязвимые выпуски: Juniper Networks Junos OS: 15.1 версии до 15.1F5 в серии vMX.

CVE-2026-27637FreeScout is a free help desk and shared inbox built with PHP's Laravel framework. Prior to version 1.8.206, FreeScout's `TokenAuth` middleware uses a predictable authentication token computed as `MD5(user_id + created_at + APP_KEY)`. This token is static (never expires/rotates), and if an attacker obtains the `APP_KEY` — a well-documented and common exposure vector in Laravel applications — they can compute a valid token for any user, including the administrator, achieving full account takeover without any password. This vulnerability can be exploited on its own or in combination with CVE-2026-27636. Version 1.8.206 fixes both vulnerabilities.

CVE-2026-25715The web management interface of the device allows the administrator username and password to be set to blank values. Once applied, the device permits authentication with empty credentials over the web management interface and Telnet service. This effectively disables authentication across all critical management channels, allowing any network-adjacent attacker to gain full administrative control without credentials.

CVE-2025-63747QaTraq 6.9.2 ships with administrative account credentials which are enabled in default installations and permit immediate login via the web application login page. Because the account provides administrative privileges in the default configuration, an attacker who can reach the login page can gain administrative access.

CVE-2025-55252HCL AION version 2 is affected by a Weak Password Policy vulnerability. This can allow the use of easily guessable passwords, potentially resulting in unauthorized access

CVE-2025-53963An issue was discovered on Thermo Fisher Ion Torrent OneTouch 2 INS1005527 devices. They run an SSH server accessible over the default port 22. The root account has a weak default password of ionadmin, and a password change policy for the root account is not enforced. Thus, an attacker with network connectivity can achieve root code execution. NOTE: This vulnerability only affects products that are no longer supported by the maintainer.

CVE-2025-4607Плагин PSW Front-end Login & Registration для WordPress уязвим к Privilege Escalation во всех версиях до 1.12 включительно через функцию customer_registration(). Это связано с использованием слабого, низкоэнтропийного механизма OTP в функции forget(). Это позволяет неаутентифицированным злоумышленникам инициировать сброс пароля для любого пользователя, включая администраторов, и повысить свои привилегии для полного захвата сайта [1]. Источники: - [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/a2d6e595-0682-4a41-a432-afbcb50144e8?source=cve - [2] https://plugins.trac.wordpress.org/browser/psw-login-and-registration/trunk/public/class-prositegeneralfeatures-public.php#L493 - [3] https://wordpress.org/plugins/psw-login-and-registration/#developers

CVE-2025-28389Слабые требования к паролю в OpenC3 COSMOS v6.0.0 позволяют злоумышленникам обойти аутентификацию посредством атаки brute force [1][2]. Источники: - [1] https://openc3.com/ - [2] https://visionspace.com/openc3-cosmos-a-security-assessment-of-an-open-source-mission-framework/

CVE-2025-28200В Victure RX1800 EN_V1.0.0_r12_110933 обнаружена уязвимость, связанная с использованием слабого пароля по умолчанию, который включает последние 8 цифр MAC-адреса. Злоумышленник может воспользоваться этой уязвимостью для несанкционированного доступа к устройству [1]. Для эксплуатации уязвимости злоумышленнику необходимо знать MAC-адрес устройства. Рекомендуется сменить пароль по умолчанию на более сложный и безопасный [2]. Источники: - [1] http://victure.com - [2] http://rx1800.com - [3] https://pwnit.io/2025/02/13/finding-vulnerabilities-in-wi-fi-router/

CVE-2025-27663Vasion Print (ранее PrinterLogic) до Virtual Appliance Host 22.0.843 Application 20.0.1923 позволяет слабую шифровку/кодирование паролей OVE-20230524-0007.

CVE-2025-25211Существует проблема слабых требований к паролям в CHOCO TEI WATCHER mini (IB-MCT001) всех версий. Если эта проблема будет использована, атака подбора паролей может позволить злоумышленнику получить несанкционированный доступ и войти.

CVE-2025-11200MLflow Weak Password Requirements Authentication Bypass Vulnerability. This vulnerability allows remote attackers to bypass authentication on affected installations of MLflow. Authentication is not required to exploit this vulnerability. The specific flaw exists within the handling of passwords. The issue results from weak password requirements. An attacker can leverage this vulnerability to bypass authentication on the system. Was ZDI-CAN-26916.