Drupal Secure Password Hashes (phpass) modul sérülékenységek

2011. július 4. 07:38

CH azonosító

CH-5133

Angol cím

Drupal Secure Password Hashes (phpass) Module Brute Force and Security Bypass Weaknesses

Felfedezés dátuma

2011.06.30.

Súlyosság

Alacsony

Érintett rendszerek

Drupal
Secure Password Hashes module

Érintett verziók

Drupal Secure Password Hashes (phpass) Module 5.x
Drupal Secure Password Hashes (phpass) Module 6.x

Összefoglaló

A Drupal Secure Password Hashes (phpass) modul olyan sérülékenységei váltak ismertté, amelyeket a támadók kihasználhatnak brute force támadások kezdeményezésére és bizonyos biztonsági szabályok megkerülésére.

Leírás

A jelszó alaphelyzetbe állításának hivatkozásában található egy hiba, ami miatt nem cseréli ki a “pass” attribútumot a jelszó alaphelyzetbe állítás hivatkozásokban, így brute force támadásokkal kihasználható az alaphelyzetbe állító hivatkozások meghatározására.
A felhasználó, amikor jelszavát megváltoztatja az alkalmazás nem érvényteleníti a jelszó alaphelyzetbe állító hivatkozásokat és ez kihasználható a felhasználó fiókjához történő hozzáférésre.

A sérülékenységeket az 5.x-1.5. megelőző és 6.x-1.1. verziókban jelentették.

Legfrissebb sérülékenységek

CVE-2023-4863 – Google Chrome sérülékenysége

CVE-2023-40186 – FreeRDP sérülékenysége

CVE-2023-20890 – VMware Aria Operations For Networks sérülékenysége

CVE-2023-34039 – VMware Aria Operations for Networks sérülékenysége

CVE-2023-23770 – Motorola MBTS Site Controller sérülékenysége

CVE-2023-38388 – JupiterX Core Premium WordPress Plugin sérülékenysége

CVE-2023-38831 – RARLabs WinRAR sérülékenysége

CVE-2023-38035 – Ivanti Sentry sérülékenysége

CVE-2023-20212 – ClamAV sérülékenysége

CVE-2023-36847 – Juniper Networks Junos OS sérülékenysége

Tovább a sérülékenységekhez »

Drupal Secure Password Hashes (phpass) modul sérülékenységek