В функциональности генерации соли в WWBN AVideo dev master commit 15fed957fb существует уязвимость, связанная с недостаточной энтропией. Сп…
В функциональности генерации соли в WWBN AVideo dev master commit 15fed957fb существует уязвимость, связанная с недостаточной энтропией. Специально созданная серия HTTP-запросов может привести к повышению привилегий. Злоумышленник может собрать системную информацию с помощью HTTP-запросов и методом грубой силы подобрать соль в автономном режиме, что приведет к подделке легитимного кода восстановления пароля для пользователя admin.
Продукт применяет алгоритм или схему, генерирующую недостаточную энтропию, оставляя паттерны или кластеры значений, более вероятных, чем другие.
https://cwe.mitre.org/data/definitions/331.html →Открыть в коллекции CWE →Данная атака направлена на предсказуемые идентификаторы сеанса с целью получения привилегий. Злоумышленник может предсказать идентификатор сеанса, используемый во время транзакции, и применить его для подделки личности и перехвата сеанса.
https://capec.mitre.org/data/definitions/59.html →Открыть в коллекции CAPEC →