CWE-331БазаЧерновик
Недостаточная энтропия
Продукт применяет алгоритм или схему, генерирующую недостаточную энтропию, оставляя паттерны или кластеры значений, более вероятных, чем другие.
Открыть в каталоге с фильтром CWE →Связанные уязвимости
CVE-2026-34236Auth0-PHP - это PHP SDK для Auth0 Authentication и Management API. От версии 8.0.0 до версии 8.19.0, в приложениях, созданных с помощью Auth0 PHP SDK, файлы cookie шифруются с недостаточной энтропией, что может привести к тому, что злоумышленники могут навязать кроль ключ шифрования и подделке сессионных файлов cookie. Этот вопрос был исправлен в версии 8.19.0.
CVE-2025-67504WBCE CMS - это система управления контентом. Версии 1.6.4 и ниже используют функцию GenerateRandomPassword() для создания паролей с использованием PHP rand(). rand() не является криптографически безопасным, что позволяет прогнозировать или грубить последовательности паролей. Это может привести к компрометации учетной записи пользователя или эскалации привилегий, если эти пароли используются для новых учетных записей или сброса паролей. Уязвимость исправлена в версии 1.6.5.
CVE-2025-47781Rallly - это инструмент для планирования и совместной работы с открытым исходным кодом. В версиях до 3.22.1 приложение использует аутентификацию на основе токенов. Когда пользователь пытается войти в приложение, он вводит свой адрес электронной почты, и на его адрес отправляется 6-значный код для завершения аутентификации. Токен, состоящий только из 6 цифр, имеет слабую энтропию, что делает возможным для неаутентифицированного злоумышленника, знающего действительный адрес электронной почты, взломать токен в течение 15 минут (время действия токена) и захватить учетную запись, связанную с целевым адресом электронной почты [1].
Источники:
- [1] https://github.com/lukevella/rallly/security/advisories/GHSA-gm8g-3r3j-48hv
CVE-2024-36400nano-id - это генератор уникальных строковых идентификаторов для Rust. Затронутые версии крейта nano-id некорректно генерировали идентификаторы, используя уменьшенный набор символов в функциях `nano_id::base62` и `nano_id::base58`. В частности, функция `base62` использовала набор символов из 32 символов вместо предполагаемых 62 символов, а функция `base58` использовала набор символов из 16 символов вместо предполагаемых 58 символов. Кроме того, макрос `nano_id::gen` также подвержен уязвимости, когда указан пользовательский набор символов, размер которого не является степенью 2. Следует отметить, что `nano_id::base64` не подвержена этой уязвимости. Это может привести к значительному снижению энтропии, что делает сгенерированные идентификаторы предсказуемыми и уязвимыми для атак грубой силы, когда идентификаторы используются в контекстах, чувствительных к безопасности, таких как токены сеанса или уникальные идентификаторы. Уязвимость исправлена в версии 0.4.0.
CVE-2024-25730Устройства Hitron CODA-4582 и CODA-4589 имеют PSK по умолчанию, которые генерируются из 5-значных шестнадцатеричных значений, объединенных с подстрокой "Hitron", что приводит к недостаточной энтропии (всего около миллиона возможностей).
CVE-2023-49599В функциональности генерации соли в WWBN AVideo dev master commit 15fed957fb существует уязвимость, связанная с недостаточной энтропией. Специально созданная серия HTTP-запросов может привести к повышению привилегий. Злоумышленник может собрать системную информацию с помощью HTTP-запросов и методом грубой силы подобрать соль в автономном режиме, что приведет к подделке легитимного кода восстановления пароля для пользователя admin.
CVE-2023-4344Веб-интерфейс Broadcom RAID Controller уязвим для недостаточной случайности из-за неправильного использования ssl.rnd для настройки CIM-соединения.
CVE-2023-31176Уязвимость недостаточной энтропии в Schweitzer Engineering Laboratories SEL-451 может позволить неаутентифицированному удаленному злоумышленнику подобрать методом грубой силы токены сеанса и обойти аутентификацию. Дополнительные сведения см. в Приложении A руководства по эксплуатации продукта от 20230830.
CVE-2022-43755Уязвимость недостаточной энтропии в SUSE Rancher позволяет злоумышленникам, получившим знания о токене cattle, продолжать злоупотреблять им даже после обновления токена. Эта проблема затрагивает: SUSE Rancher Rancher версии до 2.6.10; Rancher версии до 2.7.1.
CVE-2022-34294totd 1.5.3 использует фиксированный исходный UDP-порт во входящих запросах, отправляемых DNS-резолверам. Это позволяет осуществлять отравление DNS-кэша, поскольку недостаточно энтропии для предотвращения атак с внедрением трафика.
CVE-2021-41615websda.c в GoAhead WebServer 2.1.8 имеет недостаточную энтропию nonce, поскольку вычисление nonce основано на жестко запрограммированном значении onceuponatimeinparadise, которое не соответствует руководству по секретным данным для HTTP Digest Access Authentication в RFC 7616 section 3.3 (или RFC 2617 section 3.2.1). ПРИМЕЧАНИЕ: 2.1.8 - это версия 2003 года; однако, затронутый код websda.c появляется во многих производных работах, которые могут использоваться в 2021 году. Последние версии программного обеспечения GoAhead не подвержены этой уязвимости.
CVE-2021-36320Версии прошивки Dell Networking X-Series до 3.0.1.8 содержат уязвимость обхода аутентификации. Удаленный не аутентифицированный злоумышленник может потенциально перехватить сеанс и получить доступ к веб-серверу, подделав идентификатор сеанса.
CVE-2021-36294Dell VNX2 OE для File версий 8.1.21.266 и более ранних версий содержат уязвимость обхода аутентификации. Удаленный неаутентифицированный злоумышленник может использовать эту уязвимость, подделав файл cookie для входа в систему от имени любого пользователя.
CVE-2021-33027Sylabs Singularity Enterprise до версии 1.6.2 имеет недостаточную энтропию в одноразовом номере.
CVE-2021-22727CWE-331: Insufficient Entropy vulnerability (Недостаточная энтропия) существует в EVlink City (EVC1S22P4 / EVC1S7P4 все версии до R8 V3.4.0.1), EVlink Parking (EVW2 / EVF2 / EV.2 все версии до R8 V3.4.0.1) и EVlink Smart Wallbox (EVB1A все версии до R8 V3.4.0.1), что может позволить злоумышленнику получить несанкционированный доступ к веб-серверу зарядной станции.