Обнаружена проблема в BTITeam XBTIT 2.5.4. Хешированные пароли, хранящиеся в таблице xbtit_users, хранятся в виде не соленых хешей MD5, что…
Обнаружена проблема в BTITeam XBTIT 2.5.4. Хешированные пароли, хранящиеся в таблице xbtit_users, хранятся в виде не соленых хешей MD5, что облегчает злоумышленникам, зависящим от контекста, получение значений открытого текста с помощью атаки грубой силой.
Продукт генерирует хеш для пароля, однако применяет схему, не обеспечивающую достаточного уровня вычислительных затрат, что делает атаки перебора паролей осуществимыми или недостаточно дорогостоящими.
https://cwe.mitre.org/data/definitions/916.html →Открыть в коллекции CWE →Злоумышленник получает доступ к таблице базы данных, в которой хранятся хеши паролей. Затем он использует таблицу радужных цепочек из заранее вычисленных хеш-цепочек для попытки восстановить исходный пароль. Получив исходный пароль, соответствующий хешу, злоумышленник использует его для получения доступа к системе.
https://capec.mitre.org/data/definitions/55.html →Открыть в коллекции CAPEC →