class.userpeer.php в MFScripts YetiShare 3.5.2–4.5.3 использует небезопасный метод создания хешей сброса пароля (основанный только на micro…
class.userpeer.php в MFScripts YetiShare 3.5.2–4.5.3 использует небезопасный метод создания хешей сброса пароля (основанный только на microtime), что позволяет злоумышленнику угадать хеш и установить пароль в течение нескольких часов путем перебора.
Продукт генерирует хеш для пароля, однако применяет схему, не обеспечивающую достаточного уровня вычислительных затрат, что делает атаки перебора паролей осуществимыми или недостаточно дорогостоящими.
https://cwe.mitre.org/data/definitions/916.html →Открыть в коллекции CWE →Злоумышленник получает доступ к таблице базы данных, в которой хранятся хеши паролей. Затем он использует таблицу радужных цепочек из заранее вычисленных хеш-цепочек для попытки восстановить исходный пароль. Получив исходный пароль, соответствующий хешу, злоумышленник использует его для получения доступа к системе.
https://capec.mitre.org/data/definitions/55.html →Открыть в коллекции CAPEC →