V
Сканер-ВСкаталог уязвимостей · v4.2
ENRU
CWE-308БазаЧерновик
Абстракция: База
Статус: Черновик
Источник ↗

Использование однофакторной аутентификации

Продукт применяет алгоритм аутентификации, использующий единственный фактор (например, пароль) в контексте безопасности, требующем более одного фактора.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

CAPEC-16
Атака по словарю паролей
CAPEC-49
Перебор паролей
CAPEC-55
Взлом паролей по таблице радужных цепочек
CAPEC-70
Перебор распространённых или стандартных учётных данных
CAPEC-509
Атака Kerberoasting
CAPEC-555
Удалённые службы с похищенными учётными данными
CAPEC-560
Использование известных учётных данных домена
CAPEC-561
Использование общих ресурсов Windows с похищенными учётными данными
CAPEC-565
Распыление паролей
CAPEC-600
Подстановка учётных данных
CAPEC-644
Использование перехваченных хешей (атака Pass The Hash)
CAPEC-645
Использование перехваченных билетов (атака Pass The Ticket)
CAPEC-652
Использование известных учётных данных Kerberos
CAPEC-653
Использование известных учётных данных операционной системы

Связанные уязвимости

CVE-2025-42959Неаутентифицированный злоумышленник может воспользоваться сценарием, в котором код аутентификации сообщения HMAC, извлеченный из системы, в которой отсутствуют определенные исправления безопасности, повторно используется в атаке воспроизведения на другую систему. Даже если целевая система полностью пропатчена, успешная эксплуатация может привести к полной компрометации системы, влияя на конфиденциальность, целостность и доступность [1]. Источники: - [1] https://me.sap.com/notes/3600846 - [2] https://url.sap/sapsecuritypatchday
CVE-2024-47652Эта уязвимость существует в Shilpi Client Dashboard из-за реализации неадекватного механизма аутентификации в модуле входа в систему, при котором доступ к любой учетной записи пользователя предоставляется только по соответствующему номеру мобильного телефона. Удаленный злоумышленник может использовать эту уязвимость, предоставив номер мобильного телефона целевого пользователя, чтобы получить полный доступ к учетной записи целевого пользователя.
CVE-2023-49075Admin Classic Bundle предоставляет Backend UI для Pimcore. `AdminBundle\Security\PimcoreUserTwoFactorCondition`, представленный в v11, отключает двухфакторную аутентификацию для всех неадминистративных брандмауэров безопасности. Аутентифицированный пользователь может получить доступ к системе без необходимости предоставления двухфакторных учетных данных. Эта проблема была исправлена в версии 1.2.2.
CVE-2023-34228В JetBrains TeamCity до версии 2023.05 отсутствовали проверки подлинности - 2FA не проверялась для некоторых конфиденциальных действий учетной записи.
CVE-2023-25681Пользователи LDAP в IBM Spectrum Virtualize 8.5, для которых настроена многофакторная аутентификация, по-прежнему могут аутентифицироваться в интерфейсе CIM, используя только имя пользователя и пароль. Это не влияет на локальных пользователей с настроенной MFA или удаленных пользователей, проходящих аутентификацию через единый вход. IBM X-Force ID: 247033.
CVE-2023-50934IBM PowerSC 1.3, 2.0 и 2.1 использует однофакторную аутентификацию, что может привести к ненужному риску компрометации по сравнению с преимуществами схемы двухфакторной аутентификации. IBM X-Force ID: 275114.
CVE-2024-50618A Use of Single-factor Authentication vulnerability in the Authentication component of CIPPlanner CIPAce before 9.17 allows attackers to bypass a protection mechanism. When the system is configured to allow login with internal accounts, an attacker can possibly obtain full authentication if the secret in a single-factor authentication scheme gets compromised.