CVE-2026-41858
WysokieCVSS 7.5Streszczenie
W systemie BOSH-Ecosystem / windows-utilities-release występuje słaba losowość oraz niebezpieczny element kryptograficzny w funkcji Get-RandomPassword. Atakujący sieciowy może oszacować czas uruchamiania maszyny wirtualnej i odtworzyć małą listę kandydatów, aby odzyskać hasło Administratora.
Ocena ryzyka
Ryzyko dla organizacji polega na możliwości złamania hasła Administratora, co może prowadzić do nieautoryzowanego dostępu do systemów i danych. To narusza kontrolę zabezpieczeń, która miała na celu ochronę konta Administratora.
Rekomendacja
Zaleca się aktualizację do wersji v0.23.0 lub nowszej, aby usunąć tę podatność. Dodatkowo warto rozważyć wdrożenie silniejszych mechanizmów generowania haseł.
Oryginalny opis (angielski, źródło NVD)
Weak Randomness / Insecure Cryptographic Primitive (CWE-338) in Get-RandomPassword in BOSH-Ecosystem / windows-utilities-release allows a network attacker to estimate VM boot time and reconstruct a small candidate list to recover the Administrator password. The randomize_password job exists solely to lock the local Administrator account behind an unguessable password as a hardening control. Because the password is derived from a predictable, clock-seeded PRNG, a network attacker who can estimate VM boot time can reconstruct a small candidate list and recover the Administrator password, defeating the hardening control. Affected versions: - windows-utilities-release: all versions prior to v0.23.0 (inclusive); fixed in v0.23.0 or later

