CWE-261БазаНеполный
Слабое кодирование пароля
Сокрытие пароля посредством тривиального кодирования не обеспечивает его защиты.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
Связанные уязвимости
CVE-2021-21507Версии микропрограмм Dell EMC Networking X-Series до 3.0.1.8 и версии микропрограмм Dell EMC PowerEdge VRTX Switch Module до 2.0.0.82 содержат уязвимость слабого шифрования пароля. Удаленный неаутентифицированный злоумышленник может потенциально использовать эту уязвимость, что приведет к раскрытию определенных учетных данных пользователя. Злоумышленник может использовать раскрытые учетные данные для доступа к уязвимой системе с привилегиями скомпрометированной учетной записи.
CVE-2020-10275Токены доступа для REST API напрямую получаются из общедоступных учетных данных по умолчанию для веб-интерфейса. Учитывая ИМЯ ПОЛЬЗОВАТЕЛЯ и ПАРОЛЬ, строка токена генерируется непосредственно с помощью base64(USERNAME:sha256(PASSWORD)). Неавторизованный злоумышленник внутри сети может использовать учетные данные по умолчанию для вычисления токена и взаимодействия с REST API для извлечения, внедрения или удаления данных.
CVE-2017-7905Обнаружена проблема со слабой криптографией для паролей в General Electric (GE) Multilin SR 750 Feeder Protection Relay, версии прошивки до версии 7.47; SR 760 Feeder Protection Relay, версии прошивки до версии 7.47; SR 469 Motor Protection Relay, версии прошивки до версии 5.23; SR 489 Generator Protection Relay, версии прошивки до версии 4.06; SR 745 Transformer Protection Relay, версии прошивки до версии 5.23; SR 369 Motor Protection Relay, все версии прошивки; Multilin Universal Relay, версии прошивки 6.0 и более ранние версии; и Multilin URplus (D90, C90, B95), все версии. Зашифрованные версии паролей пользователей были созданы с использованием неслучайного вектора инициализации, что делает их уязвимыми для атак по словарю. Зашифрованный текст паролей пользователей можно получить с передней ЖК-панели затронутых продуктов и с помощью выданных команд Modbus.
CVE-2025-31229С улучшенными проверками был решен логический вопрос. Эта проблема исправлена в iOS 18.6 и iPadOS 18.6. Пароль может быть прочидан вслух VoiceOver.
CVE-2024-24279Проблема в secdiskapp 1.5.1 (программа управления для NewQ Fingerprint Encryption Super Speed Flash Disk) позволяет злоумышленникам повысить привилегии через функции vsVerifyPassword и vsSetFingerPrintPower.
CVE-2024-7407Использование собственного алгоритма кодирования паролей в программном обеспечении Streamsoft Prestiż позволяет просто декодировать пароли с использованием их закодированных форм, которые хранятся в базе данных приложения. Нужно знать алгоритм кодирования, но его можно вывести, наблюдая, как трансформируются пароли. Эта проблема была исправлена в версии 18.2.377 программного обеспечения.
CVE-2024-28270Проблема, обнаруженная в web-flash v3.0, позволяет злоумышленникам сбрасывать пароли для произвольных пользователей с помощью специально созданного POST-запроса к /prod-api/user/resetPassword.
CVE-2024-45394Authenticator — это расширение браузера, которое генерирует коды двухэтапной проверки. В версиях 7.0.0 и ниже ключи шифрования для пользовательских данных хранились в зашифрованном виде в состоянии покоя, используя только AES-256 и KDF EVP_BytesToKey. Поэтому злоумышленники, имеющие копию данных пользователя, могут перебором подобрать ключ шифрования пользователя. Пользователи версии 8.0.0 и выше автоматически переходят с небезопасной кодировки при первом входе в систему. Пользователи должны уничтожить зашифрованные резервные копии, сделанные с версиями до 8.0.0.
CVE-2024-45273Не прошедший проверку подлинности локальный злоумышленник может расшифровать файл конфигурации устройства и, следовательно, скомпрометировать устройство из-за слабой реализации используемого шифрования.
CVE-2022-45099Dell PowerScale OneFS, версии 8.2.x-9.4.x, содержит слабое кодирование для пароля NDMP. Злонамеренный и привилегированный локальный злоумышленник может потенциально воспользоваться этой уязвимостью, что приведет к полному взлому системы.
CVE-2020-14481Инструмент DeskLock, поставляемый с FactoryTalk View SE, использует слабый алгоритм шифрования, который может позволить локальному аутентифицированному злоумышленнику расшифровать учетные данные пользователя, включая пароли пользователя Windows или Windows DeskLock. Если у скомпрометированного пользователя есть учетная запись администратора, злоумышленник может получить полный доступ к операционной системе пользователя и определенным компонентам FactoryTalk View SE.
CVE-2023-7237Lantronix XPort отправляет слабо закодированные учетные данные в заголовках веб-запросов.
CVE-2023-0525Уязвимость, связанная со слабым шифрованием пароля, в Mitsubishi Electric Corporation GOT2000 Series GT27 model versions 01.49.000 и более ранних, GT25 model versions 01.49.000 и более ранних, GT23 model versions 01.49.000 и более ранних, GT21 model versions 01.49.000 и более ранних, GOT SIMPLE Series GS25 model versions 01.49.000 и более ранних, GS21 model versions 01.49.000 и более ранних, GT Designer3 Version1 (GOT2000) versions 1.295H и более ранних и GT SoftGOT2000 versions 1.295H и более ранних позволяет удаленному неаутентифицированному злоумышленнику получить пароли в виде открытого текста путем перехвата пакетов, содержащих зашифрованные пароли, и расшифровки зашифрованных паролей, в случае передачи данных с помощью GT Designer3 Version1(GOT2000) и GOT2000 Series или GOT SIMPLE Series с включенной функцией Data Transfer Security, или в случае передачи данных с помощью функции SoftGOT-GOT link с GT SoftGOT2000 и GOT2000 series с включенной функцией Data Transfer Security.
CVE-2023-0356SOCOMEC MODULYS GP Netvision версий 7.20 и ниже не имеет надежного шифрования учетных данных для HTTP-соединений, что может привести к получению злоумышленниками конфиденциальной информации.
CVE-2022-38469Неавторизованный пользователь с доступом к сети и ключом дешифрования может дешифровать конфиденциальные данные, такие как имена пользователей и пароли.