CVE-2026-46749
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 - wyżej niż 2% wszystkich znanych CVE
Streszczenie
Zidentyfikowano podatność w SINEC INS (wszystkie wersje < V1.0 SP2 Update 6), która wykorzystuje implementację haszowania haseł z statyczną, zakodowaną na sztywno solą wspólną dla wszystkich użytkowników i instalacji. Konfiguracja z niewystarczającą liczbą iteracji może umożliwić atakującemu efektywne odzyskiwanie haseł użytkowników.
Ocena ryzyka
Podatność ta może prowadzić do nieautoryzowanego dostępu do kont użytkowników, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację SINEC INS do wersji V1.0 SP2 Update 6 lub nowszej oraz wdrożenie silniejszej metody haszowania haseł z unikalnymi solami dla każdego użytkownika.
Oryginalny opis (angielski, źródło NVD)
A vulnerability has been identified in SINEC INS (All versions < V1.0 SP2 Update 6). The affected application uses a password hashing implementation with a static, hardcoded salt shared across all users and installations, and is configured with an insufficient number of iterations. This could allow an attacker to efficiently recover user passwords using brute-force or precomputed attacks, potentially resulting in unauthorized access.

