V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
CWE-262БазаЧерновик
Абстракция: База
Статус: Черновик
Источник ↗

Отсутствие устаревания паролей

Продукт не имеет механизма управления сроком действия паролей.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

CAPEC-16
Атака по словарю паролей
CAPEC-49
Перебор паролей
CAPEC-55
Взлом паролей по таблице радужных цепочек
CAPEC-70
Перебор распространённых или стандартных учётных данных
CAPEC-509
Атака Kerberoasting
CAPEC-555
Удалённые службы с похищенными учётными данными
CAPEC-560
Использование известных учётных данных домена
CAPEC-561
Использование общих ресурсов Windows с похищенными учётными данными
CAPEC-565
Распыление паролей
CAPEC-600
Подстановка учётных данных
CAPEC-652
Использование известных учётных данных Kerberos
CAPEC-653
Использование известных учётных данных операционной системы

Связанные уязвимости

CVE-2026-50101Устройства Naxclow используют учетные данные ретрансляции на стороне сервера, которые никогда не вращаются и переиздаются устройству на каждой ботинке. Поскольку эти полномочия остаются в силе на неопределенный срок и не могут быть сброслены или отозваны законным владельцем, любая сторона, которая получает его через любой путь воздействия, может поддерживать постоянный доступ к каналу ретрансляции устройства. Это обеспечивает долгосрочное олицетворение или перехват, даже после сброса фабрики или повторного включения.
CVE-2022-22767Определенные продукты BD Pyxis™ были установлены с учетными данными по умолчанию и могут в настоящее время все еще работать с этими учетными данными. Могут быть сценарии, когда продукты BD Pyxis™ устанавливаются с теми же учетными данными операционной системы по умолчанию или учетными данными серверов, присоединенных к домену, которые могут совместно использоваться между типами продуктов. В случае эксплуатации злоумышленники могут получить привилегированный доступ к базовой файловой системе и потенциально могут использовать или получить доступ к ePHI или другой конфиденциальной информации.
CVE-2025-60010Уязвимость старения пароля в RADIUS-клиенте Juniper Networks Junos OS и Junos OS Evolved позволяет аутентифицированному сетевому злоумышленнику получить доступ к устройству без обеспечения необходимого изменения пароля. Пострадавшие устройства позволяют логины пользователям, для которых сервер RADIUS ответил отказом и потребовал от пользователя сменить пароль по истечении срока действия их пароля. Поэтому политика, обусловливая изменение пароля, не соблюдается. Это не позволяет пользователям войти с неправильным паролем, но только с правильным, но просроченным. Эта проблема затрагивает: Junos OS:  * все версии перед 22.4R3-S8, * 23.2 версии перед 23.2R2-S4, * 23.4 версии до 23.4R2-S5, * 24.2 версии до 24.2R2-S1, * 24.4 версии до 24.4R1-S3, 24.4R2; Junos OS Эволюционировала: * все версии перед 22.4R3-S8-EVO, * 23.2 версии перед 23.2R2-S4-EVO, * 23.4 версии до 23.4R2-S5-EVO, * 24.2 версии до 24.2R2-S1-EVO, * 24.4 версии до 24.4R1-S3-EVO, 24.4R2-EVO.
CVE-2023-2022В GitLab CE/EE обнаружено уязвимость, затрагивающая все версии, начиная с версии до 16.0.8, все версии, начиная с 16.1 до 16.1.3, и все версии, начиная с 16.2 до 16.2.2. Это позволяет разработчикам создавать расписания конвейеров на защищенных ветвях, даже если у них нет доступа к слиянию. Разработчики могут обойти условие, согласно которому владелец расписания должен иметь роль разработчика и разрешение на слияние в ветку [1]. Уязвимость возникает из-за того, что Projects::PipelineSchedulesController использует проект в качестве субъекта для проверки прав доступа [2]. Источники: - [1] https://gitlab.com/gitlab-org/gitlab/-/issues/407166 - [2] https://hackerone.com/reports/1936572
CVE-2023-1555В GitLab обнаружена уязвимость, затрагивающая все версии с 15.2 до 16.1.5, с 16.2 до 16.2.5 и с 16.3 до 16.3.1. Заблокированный пользователь на уровне пространства имен может получить доступ к API. Для устранения уязвимости необходимо обновить GitLab до одной из исправленных версий [1][2]. Источники: - [1] https://gitlab.com/gitlab-org/gitlab/-/issues/398587 - [2] https://hackerone.com/reports/1911908
CVE-2025-58435Уязвимость noVNC interactive applications в Open OnDemand, связанная с неправильным обновлением пароля при использовании TurboVNC версии выше 3.1.2, позволяет выполнить несанкционированные действия от имени пользователя [1]. Вероятность эксплуатации низкая, так как требуется доступ к активной сессии пользователя и аутентификация в портале. Для устранения уязвимости рекомендуется обновиться до Open OnDemand версии 3.1.15 или 4.0.7. Источники: - [1] https://github.com/OSC/ondemand/security/advisories/GHSA-7vh8-mw9f-5r99