V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
CAPEC-55ДетальныйЧерновик
Абстракция: Детальный
Статус: Черновик
Источник ↗

Взлом паролей по таблице радужных цепочек

Злоумышленник получает доступ к таблице базы данных, в которой хранятся хеши паролей. Затем он использует таблицу радужных цепочек из заранее вычисленных хеш-цепочек для попытки восстановить исходный пароль. Получив исходный пароль, соответствующий хешу, злоумышленник использует его для получения доступа к системе.

Открыть в каталоге с фильтром CAPEC →

Связанные CWE

CWE-261
Сокрытие пароля посредством тривиального кодирования не обеспечивает его защиты.
CWE-262
Продукт не имеет механизма управления сроком действия паролей.
CWE-263
Продукт поддерживает устаревание паролей, однако срок их действия слишком велик.
CWE-308
Продукт применяет алгоритм аутентификации, использующий единственный фактор (например, пароль) в контексте безопасности, требующ
CWE-309
Использование парольных систем в качестве основного способа аутентификации может быть подвержено нескольким недостаткам, каждый
CWE-521
Продукт не требует от пользователей применения надёжных паролей.
CWE-654
Механизм защиты полностью или в значительной мере опирается на оценку единственного условия либо на целостность единственного об
CWE-916
Продукт генерирует хеш для пароля, однако применяет схему, не обеспечивающую достаточного уровня вычислительных затрат, что делае

Связанные уязвимости

CVE-2025-12364Слабая политика паролей.Эта проблема затрагивает BLU-IC2: до 1.19.5; BLU-IC4: до 1.19.5.
CVE-2020-14516В Rockwell Automation FactoryTalk Services Platform версий 6.10.00 и 6.11.00 существует проблема с реализацией алгоритма хеширования SHA-256 с FactoryTalk Services Platform, которая не позволяет правильно хешировать пароль пользователя.
CVE-2026-25715Интерфейс веб-управления устройства позволяет администратору имя пользователя и пароль, которые будут установлены на пустые значения. После применения, устройство разрешает аутентификацию с пустыми учетными записями через Интернет интерфейс управления и сервис Telnet. Это эффективно отключает аутентификация по всем критическим каналам управления, что позволяет Смежный злоумышленник, чтобы получить полный административный контроль без Полномочия.
CVE-2025-63747QaTraq 6.9.2 поставляется с административными учетными данных, которые включены в установках по умолчанию и позволяют немедленно войти в систему через страницу входа в веб-приложения. Поскольку учетная запись предоставляет административные привилегии в конфигурации по умолчанию, злоумышленник, который может попасть на страницу входа, может получить административный доступ.
CVE-2025-55269HCL Aftermarket DPC подвержен уязвимости Weak Password Policy, которая облегчает злоумышленникам угадывание слабых паролей или использование методов грубой силы для получения несанкционированного доступа к учетным записям пользователей.
CVE-2025-55252На HCL AION версии 2 влияет уязвимость политики слабого пароля. Это может позволить использовать легко угадываемые пароли, что может привести к несанкционированному доступу.
CVE-2025-53963Проблема была обнаружена на устройствах Thermo Fisher Fisher Ion Torrent OneTouch 2 INS1005527. Они запускают сервер SSH, доступный через порт 22 по умолчанию. Корневая учетная запись имеет слабый пароль по умолчанию ionadmin, и политика смены пароля для основной учетной записи не соблюдается. Таким образом, злоумышленник с сетевым подключением может добиться выполнения корневого кода. ПРИМЕЧАНИЕ: Эта уязвимость затрагивает только продукты, которые больше не поддерживаются со стороны обслуживающего персонала.
CVE-2025-3937Уязвимость использования хеша пароля с недостаточными вычислительными затратами в Tridium Niagara Framework на Windows, Linux, QNX, Tridium Niagara Enterprise Security на Windows, Linux, QNX позволяет проводить криптоанализ. Эта проблема затрагивает Niagara Framework: до версии 4.14.2, до версии 4.15.1, до версии 4.10.11; Niagara Enterprise Security: до версии 4.14.2, до версии 4.15.1, до версии 4.10.11. Tridium рекомендует обновиться до версий Niagara Framework и Enterprise Security 4.14.2u2, 4.15.u1 или 4.10u.11 [1]. Источники: - [1] https://docs.niagara-community.com/category/tech_bull - [2] https://www.honeywell.com/us/en/product-security#security-notices
CVE-2025-28389Слабые требования к паролю в OpenC3 COSMOS v6.0.0 позволяют злоумышленникам обойти аутентификацию посредством атаки brute force [1][2]. Источники: - [1] https://openc3.com/ - [2] https://visionspace.com/openc3-cosmos-a-security-assessment-of-an-open-source-mission-framework/
CVE-2025-28200В Victure RX1800 EN_V1.0.0_r12_110933 обнаружена уязвимость, связанная с использованием слабого пароля по умолчанию, который включает последние 8 цифр MAC-адреса. Злоумышленник может воспользоваться этой уязвимостью для несанкционированного доступа к устройству [1]. Для эксплуатации уязвимости злоумышленнику необходимо знать MAC-адрес устройства. Рекомендуется сменить пароль по умолчанию на более сложный и безопасный [2]. Источники: - [1] http://victure.com - [2] http://rx1800.com - [3] https://pwnit.io/2025/02/13/finding-vulnerabilities-in-wi-fi-router/
CVE-2025-27663Vasion Print (ранее PrinterLogic) до Virtual Appliance Host 22.0.843 Application 20.0.1923 позволяет слабую шифровку/кодирование паролей OVE-20230524-0007.
CVE-2025-25211Существует проблема слабых требований к паролям в CHOCO TEI WATCHER mini (IB-MCT001) всех версий. Если эта проблема будет использована, атака подбора паролей может позволить злоумышленнику получить несанкционированный доступ и войти.
CVE-2025-11200MLflow Слабые Требования К Аутентификации Обход Уязвимости. Эта уязвимость позволяет удаленным злоумышленникам обходить аутентификацию на затронутых установках MLflow. Аутентификация не требуется для использования этой уязвимости. Удельный недостаток существует в обработке паролей. Проблема возникает из-за слабых требований к паролям. Злоумышленник может использовать эту уязвимость для обхода аутентификации в системе. Это был ZDI-CAN-26916.
CVE-2024-5743Злоумышленник может использовать уязвимость «Использование хэша пароля с недостаточными вычислительными усилиями» в EveHome Eve Play для выполнения произвольного кода. Эта проблема затрагивает Eve Play: до версии 1.1.42.
CVE-2024-42850Проблема в функции изменения пароля Silverpeas v6.4.2 и более ранних версий позволяет обходить требования к сложности пароля.