CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-26219

Critical
Published: Translated: NVD NIST

Summary

Nowa aplikacja newbee-mall przechowuje i weryfikuje hasła użytkowników przy użyciu nieosolonego algorytmu haszującego MD5. Implementacja nie uwzględnia soli per użytkownika ani kontroli kosztów obliczeniowych, co umożliwia atakującym szybkie odzyskiwanie haseł w postaci tekstu jawnego w przypadku uzyskania dostępu do haszy haseł.

Risk Assessment

Ryzyko dla organizacji polega na tym, że atakujący mogą łatwo odzyskać hasła użytkowników, co prowadzi do potencjalnego przejęcia kont i naruszenia danych. W przypadku wycieku bazy danych lub kopii zapasowej, konsekwencje mogą być poważne.

Recommendation

Zaleca się migrację do silniejszego algorytmu haszującego, takiego jak bcrypt lub Argon2, który obsługuje sól i kontrolę kosztów obliczeniowych. Należy również przeprowadzić audyt bezpieczeństwa bazy danych oraz wdrożyć odpowiednie środki ochrony danych.

Original NVD description (English source)

newbee-mall stores and verifies user passwords using an unsalted MD5 hashing algorithm. The implementation does not incorporate per-user salts or computational cost controls, enabling attackers who obtain password hashes through database exposure, backup leakage, or other compromise vectors to rapidly recover plaintext credentials via offline attacks.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS