Drupal Secure Password Hashes (phpass) modul sérülékenységek

2011. július 4. 07:38

CH azonosító

CH-5133

Angol cím

Drupal Secure Password Hashes (phpass) Module Brute Force and Security Bypass Weaknesses

Felfedezés dátuma

2011.06.30.

Súlyosság

Alacsony

Érintett rendszerek

Drupal
Secure Password Hashes module

Érintett verziók

Drupal Secure Password Hashes (phpass) Module 5.x
Drupal Secure Password Hashes (phpass) Module 6.x

Összefoglaló

A Drupal Secure Password Hashes (phpass) modul olyan sérülékenységei váltak ismertté, amelyeket a támadók kihasználhatnak brute force támadások kezdeményezésére és bizonyos biztonsági szabályok megkerülésére.

Leírás

A jelszó alaphelyzetbe állításának hivatkozásában található egy hiba, ami miatt nem cseréli ki a “pass” attribútumot a jelszó alaphelyzetbe állítás hivatkozásokban, így brute force támadásokkal kihasználható az alaphelyzetbe állító hivatkozások meghatározására.
A felhasználó, amikor jelszavát megváltoztatja az alkalmazás nem érvényteleníti a jelszó alaphelyzetbe állító hivatkozásokat és ez kihasználható a felhasználó fiókjához történő hozzáférésre.

A sérülékenységeket az 5.x-1.5. megelőző és 6.x-1.1. verziókban jelentették.

Legfrissebb sérülékenységek

CVE-2024-53104 – Linux Kernel sérülékenysége

CVE-2025-3928 – Commvault Web Server Unspecified sérülékenysége

CVE-2025-3248 – Langflow Missing Authentication sérülékenysége

CVE-2024-58136 – Yiiframework Yii Improper Protection of Alternate Path sérülékenysége

CVE-2025-34028 – Commvault Command Center Path Traversal sérülékenysége

CVE-2023-44221 – SonicWall SMA100 Appliances OS Command Injection sérülékenysége

CVE-2024-38475 – Apache HTTP Server Improper Escaping of Output sérülékenysége

CVE-2025-24132 – Apple AirPlay sebezhetősége

CVE-2025-31330 – SAP Landscape Transformation sebezhetősége

CVE-2025-27429 – SAP sebezhetősége

Tovább a sérülékenységekhez »

Drupal Secure Password Hashes (phpass) modul sérülékenységek