Katalog CVE

CVE-2026-26219

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Nowa aplikacja newbee-mall przechowuje i weryfikuje hasła użytkowników przy użyciu nieosolonego algorytmu haszującego MD5. Implementacja nie uwzględnia soli per użytkownika ani kontroli kosztów obliczeniowych, co umożliwia atakującym szybkie odzyskiwanie haseł w postaci tekstu jawnego w przypadku uzyskania dostępu do haszy haseł.

Ocena ryzyka

Ryzyko dla organizacji polega na tym, że atakujący mogą łatwo odzyskać hasła użytkowników, co prowadzi do potencjalnego przejęcia kont i naruszenia danych. W przypadku wycieku bazy danych lub kopii zapasowej, konsekwencje mogą być poważne.

Rekomendacja

Zaleca się migrację do silniejszego algorytmu haszującego, takiego jak bcrypt lub Argon2, który obsługuje sól i kontrolę kosztów obliczeniowych. Należy również przeprowadzić audyt bezpieczeństwa bazy danych oraz wdrożyć odpowiednie środki ochrony danych.

Oryginalny opis (angielski, źródło NVD)

newbee-mall stores and verifies user passwords using an unsalted MD5 hashing algorithm. The implementation does not incorporate per-user salts or computational cost controls, enabling attackers who obtain password hashes through database exposure, backup leakage, or other compromise vectors to rapidly recover plaintext credentials via offline attacks.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS