CWE-916 · Использование хеша пароля с недостаточными вычислительными затратами

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CWE-916БазаНеполный

Абстракция: База

Статус: Неполный

Источник ↗

Использование хеша пароля с недостаточными вычислительными затратами

Продукт генерирует хеш для пароля, однако применяет схему, не обеспечивающую достаточного уровня вычислительных затрат, что делает атаки перебора паролей осуществимыми или недостаточно дорогостоящими.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

Взлом паролей по таблице радужных цепочек

Связанные уязвимости

CVE-2020-14516В Rockwell Automation FactoryTalk Services Platform версий 6.10.00 и 6.11.00 существует проблема с реализацией алгоритма хеширования SHA-256 с FactoryTalk Services Platform, которая не позволяет правильно хешировать пароль пользователя.

CVE-2025-3937Уязвимость использования хеша пароля с недостаточными вычислительными затратами в Tridium Niagara Framework на Windows, Linux, QNX, Tridium Niagara Enterprise Security на Windows, Linux, QNX позволяет проводить криптоанализ. Эта проблема затрагивает Niagara Framework: до версии 4.14.2, до версии 4.15.1, до версии 4.10.11; Niagara Enterprise Security: до версии 4.14.2, до версии 4.15.1, до версии 4.10.11. Tridium рекомендует обновиться до версий Niagara Framework и Enterprise Security 4.14.2u2, 4.15.u1 или 4.10u.11 [1]. Источники: - [1] https://docs.niagara-community.com/category/tech_bull - [2] https://www.honeywell.com/us/en/product-security#security-notices

CVE-2024-5743Злоумышленник может использовать уязвимость «Использование хэша пароля с недостаточными вычислительными усилиями» в EveHome Eve Play для выполнения произвольного кода. Эта проблема затрагивает Eve Play: до версии 1.1.42.

CVE-2023-5846Franklin Fueling System TS-550 версии до 1.9.23.8960 уязвимы для атак, позволяющих расшифровать учетные данные администратора, что приводит к несанкционированному доступу к устройству.

CVE-2023-34433PiiGAB M-Bus хранит пароли, используя слабый алгоритм хеширования.

CVE-2021-36767В Digi RealPort до версии 4.10.490 аутентификация основана на механизме запрос-ответ, который предоставляет доступ к паролю сервера, что делает защиту неэффективной. Злоумышленник может отправить неаутентифицированный запрос на сервер. Сервер ответит слабо хешированной версией пароля доступа к серверу. Затем злоумышленник может взломать этот хеш в автономном режиме, чтобы успешно войти на сервер.

CVE-2019-17216На устройствах V-Zug Combi-Steam MSLQ до Ethernet R07 и до WLAN R05 обнаружена проблема. Аутентификация по паролю использует MD5 для хеширования паролей. Взлом возможен с минимальными усилиями.

CVE-2018-15680Обнаружена проблема в BTITeam XBTIT 2.5.4. Хешированные пароли, хранящиеся в таблице xbtit_users, хранятся в виде не соленых хешей MD5, что облегчает злоумышленникам, зависящим от контекста, получение значений открытого текста с помощью атаки грубой силой.

CVE-2018-10618Davolink DVW-3200N все версии до версии 1.00.06. Устройство генерирует слабый хэш пароля, который легко взломать, что позволяет удаленному злоумышленнику получить пароль для устройства.

CVE-2017-3962Уязвимость эксплуатации восстановления пароля в механизме аутентификации без использования сертификатов в McAfee Network Security Management (NSM) до 8.2.7.42.2 позволяет злоумышленникам взламывать пароли пользователей через несоленые хеши.

CVE-2005-0408CitrusDB 0.3.6 и более ранние версии генерируют легко предсказуемые MD5-хеши имени пользователя для файла cookie id_hash, что позволяет удаленным злоумышленникам обходить аутентификацию и получать привилегии, вычисляя контрольную сумму MD5 имени пользователя в сочетании со строкой "boogaadeeboo", которая жестко запрограммирована в переменной $hidden_hash.

CVE-2001-0967Knox Arkeia server 4.2 и, возможно, другие версии, использует постоянную соль при шифровании паролей с помощью функции crypt(), что облегчает злоумышленнику проведение грубого угадывания пароля.

CVE-2019-19735class.userpeer.php в MFScripts YetiShare 3.5.2–4.5.3 использует небезопасный метод создания хешей сброса пароля (основанный только на microtime), что позволяет злоумышленнику угадать хеш и установить пароль в течение нескольких часов путем перебора.

CVE-2020-16231Затронутые контроллеры Bachmann Electronic M-Base версии MSYS v1.06.14 и более поздние используют слабую криптографию для защиты паролей устройств. Затронутые контроллеры, которые активно поддерживаются, включают аппаратные контроллеры MX207, MX213, MX220, MC206, MC212, MC220 и MH230, а затронутые контроллеры с истекшим сроком службы включают аппаратные контроллеры MC205, MC210, MH212, ME203, CS200, MP213, MP226, MPC240, MPC265, MPC270, MPC293, MPE270 и CPC210. Уровень безопасности 0 установлен по умолчанию производителем, что может позволить неаутентифицированному удаленному злоумышленнику получить доступ к хешам паролей. Уровень безопасности 4 восприимчив, если аутентифицированный удаленный злоумышленник или неаутентифицированное лицо с физическим доступом к устройству считывает и расшифровывает пароль для проведения дальнейших атак.

CVE-2026-25861QloApps через 1.7.0, фиксированный в commit 64e9722, содержит слабую уязвимость криптографического алгоритма, которая позволяет злоумышленникам скомпрометировать учетные данные пользователя, используя использование MD5 для хеширования паролей в функции Tools::encrypt() в классах / Tools.php, которая конкатенирует статический ключ cookie с предоставленным паролем. Злоумышленники могут выполнять автономные атаки против хэшей MD5, причем риск усугубляется автоматически генерируемыми 8-символьными паролями, назначенными во время конвертации учетной записи гостя к клиентам в классах / Customer.php, что делает восстановление учетных данных тривиальным.