Katalog CVE

CVE-2019-20457

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W urządzeniach Brother MFC-J491DW C1806180757 odkryto problem, który pozwala na uzyskanie hasha hasła interfejsu webowego drukarki bez autoryzacji. Nagłówek odpowiedzi z nieudanej próby logowania zwraca niekompletny cookie autoryzacyjny, który zawiera MD5 hash hasła w formacie szesnastkowym.

Ocena ryzyka

Atakujący może łatwo uzyskać prawdziwy hash MD5 i wykorzystać ataki offline do zdobycia dostępu administracyjnego do urządzenia, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się zabezpieczenie interfejsu webowego drukarki poprzez wprowadzenie silniejszych mechanizmów autoryzacji oraz regularne aktualizowanie oprogramowania urządzenia.

Oryginalny opis (angielski, źródło NVD)

An issue was discovered on Brother MFC-J491DW C1806180757 devices. The printer's web-interface password hash can be retrieved without authentication, because the response header of any failed login attempt returns an incomplete authorization cookie. The value of the authorization cookie is the MD5 hash of the password in hexadecimal. An attacker can easily derive the true MD5 hash from this, and use offline cracking attacks to obtain administrative access to the device.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS