CWE-324БазаЧерновик
Использование ключа после истечения срока действия
Продукт использует криптографический ключ или пароль после истечения срока их действия, что существенно снижает их безопасность за счёт расширения временного окна для атак перебором против этого ключа.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
—
Связанные уязвимости
CVE-2025-2291Пароль может быть использован после истечения срока действия в PgBouncer из-за auth_query, не принимая во внимание Postgres его АКТИВНОЕ ОБЪЕМОСТЬ, который позволяет злоумышленнику войти в систему с уже просроченным паролем
CVE-2025-33012IBM Db2 10.5.0 - 10.5.11, 11.1.0 до 11.1.4.7, 11.5.0 до 11.5.9 и 12.1.0 до 12.1.3 для Linux может позволить аутентифицированному пользователю восстановить доступ после блокировки учетной записи из-за использования пароля после истечения срока действия.
CVE-2022-24732Maddy Mail Server - это почтовый сервер с открытым исходным кодом, совместимый с SMTP. Версии maddy до 0.5.4 не реализуют истечение срока действия пароля или проверку срока действия учетной записи при аутентификации с использованием PAM. Пользователям рекомендуется обновиться. Пользователям, которые не могут обновиться, следует вручную удалить устаревшие учетные записи с помощью существующих механизмов фильтрации.
CVE-2025-31123Zitadel - это программное обеспечение с открытым исходным кодом для инфраструктуры идентификации. Существовала уязвимость, при которой истекшие ключи могут использоваться для получения токенов. В частности, ZITADEL не проверяет должным образом дату истечения срока действия ключа JWT при использовании для предоставления авторизации. Это позволяет атакующему с истекшим ключом получить действительные токены доступа. Эта уязвимость не затрагивает использование профиля JWT для аутентификации клиентов OAuth 2.0 на конечных точках токенов и интроспекции, которые корректно отклоняют истекшие ключи. Эта уязвимость исправлена в версиях 2.71.6, 2.70.8, 2.69.9, 2.68.9, 2.67.13, 2.66.16, 2.65.7, 2.64.6 и 2.63.9.
CVE-2022-35401В get_IFTTTTtoken.cgi функциональности Asus RT-AX82U 3.0.0.4.386_49674-ge182230 существует уязвимость обхода аутентификации. Специально созданный HTTP-запрос может привести к полному административному доступу к устройству. Злоумышленнику необходимо отправить серию HTTP-запросов, чтобы использовать эту уязвимость.
CVE-2025-13723Менеджер взаимодействия партнера IBM Sterling 6.2.3.0-6.2.3.5 и 6.2.4.0 до 6.2.4.2 может позволить злоумышленнику получать конфиденциальную информацию пользователя с использованием токена с истекшим сроком действия доступа
CVE-2021-33020Philips Vue PACS версии 12.2.x.x и более ранние версии используют криптографический ключ или пароль после истечения срока его действия, что значительно снижает его безопасность за счет увеличения временного окна для взлома атак на этот ключ.
CVE-2022-2447Обнаружена уязвимость в Keystone. Существует временная задержка (до одного часа в конфигурации по умолчанию) между моментом, когда политика безопасности говорит, что токен должен быть отозван, и моментом, когда он фактически отозван. Это может позволить удаленному администратору тайно поддерживать доступ дольше, чем ожидалось.
CVE-2024-31895IBM App Connect Enterprise версий 12.0.1.0–12.0.12.1 может позволить аутентифицированному пользователю получить конфиденциальную информацию о пользователе, используя устаревший токен доступа. IBM X-Force ID: 288176.
CVE-2024-25679В PQUIC до версии 5bde5bb сохранение неиспользуемых начальных ключей шифрования позволяет злоумышленникам нарушить соединение с конфигурацией PSK, отправив фрейм CONNECTION_CLOSE, зашифрованный с помощью вычисленного начального ключа. Для эксплуатации требуется перехват сетевого трафика.
CVE-2024-38277Уникальный ключ должен быть сгенерирован для QR-ключа входа пользователя и их ключа автоматического входа, так что один и тот же ключ не может использоваться взаимозаменяемо между ними.
CVE-2019-3790Pivotal Ops Manager, версии 2.2.x до 2.2.23, версии 2.3.x до 2.3.16, версии 2.4.x до 2.4.11 и версии 2.5.x до 2.5.3, содержат конфигурацию, которая обходит истечение срока действия токена обновления. Удаленный прошедший проверку подлинности пользователь может получить доступ к сеансу браузера, срок действия которого должен был истечь, и получить доступ к ресурсам Ops Manager.
CVE-2024-7318В Keycloak обнаружена уязвимость. Срок действия OTP-кодов истекает, но они все еще пригодны для использования при использовании FreeOTP, когда период действия OTP-токена установлен в 30 секунд (по умолчанию). Вместо того чтобы истечь и считаться непригодными для использования примерно через 30 секунд, токены действительны в течение дополнительных 30 секунд, что в сумме составляет 1 минуту.
Одноразовый пароль, действительный дольше, чем время его истечения, увеличивает окно атаки для злоумышленников, позволяющее злоупотреблять системой и взламывать учетные записи. Кроме того, это увеличивает поверхность атаки, поскольку в любой момент времени действительны два OTP.
CVE-2025-48813Использование ключа после истечения срока его действия в виртуальном защитном режиме позволяет авторизованному злоумышленнику выполнять спуфинг на месте.
CVE-2024-36031В ядре Linux устранена следующая уязвимость:
keys: Исправить перезапись срока действия ключа при создании экземпляра.
Время истечения срока действия ключа безусловно перезаписывается во время создания экземпляра, по умолчанию делая его постоянным. Это создает проблему для разрешения DNS, поскольку срок действия, установленный пользовательским пространством, перезаписывается на TIME64_MAX, отключая дальнейшие обновления DNS. Исправьте это, восстановив условие, что key_set_expiry вызывается только тогда, когда предварительный анализатор устанавливает конкретный срок действия.