CVE-2026-26219
CriticalSummary
Nowa aplikacja newbee-mall przechowuje i weryfikuje hasła użytkowników przy użyciu nieosolonego algorytmu haszującego MD5. Implementacja nie uwzględnia soli per użytkownika ani kontroli kosztów obliczeniowych, co umożliwia atakującym szybkie odzyskiwanie haseł w postaci tekstu jawnego w przypadku uzyskania dostępu do haszy haseł.
Risk Assessment
Ryzyko dla organizacji polega na tym, że atakujący mogą łatwo odzyskać hasła użytkowników, co prowadzi do potencjalnego przejęcia kont i naruszenia danych. W przypadku wycieku bazy danych lub kopii zapasowej, konsekwencje mogą być poważne.
Recommendation
Zaleca się migrację do silniejszego algorytmu haszującego, takiego jak bcrypt lub Argon2, który obsługuje sól i kontrolę kosztów obliczeniowych. Należy również przeprowadzić audyt bezpieczeństwa bazy danych oraz wdrożyć odpowiednie środki ochrony danych.
Original NVD description (English source)
newbee-mall stores and verifies user passwords using an unsalted MD5 hashing algorithm. The implementation does not incorporate per-user salts or computational cost controls, enabling attackers who obtain password hashes through database exposure, backup leakage, or other compromise vectors to rapidly recover plaintext credentials via offline attacks.

