目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1310

100%
请我们喝杯咖啡

CWE-257 以可恢复格式存储口令 类漏洞列表 58

CWE-257 以可恢复格式存储口令 类弱点 58 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-257指以可恢复格式存储密码的漏洞,属于数据保护缺陷。攻击者或恶意内部人员可利用系统管理员的恢复权限,直接获取明文密码,从而实施凭证重用攻击,危害远超普通明文存储。开发者应避免实现密码恢复功能,改为强制重置机制,并使用不可逆的单向哈希算法加盐存储密码,确保即使数据库泄露,攻击者也无法还原原始凭证。

MITRE CWE 官方描述
CWE:CWE-257 以可恢复格式存储密码 (Storing Passwords in a Recoverable Format) 英文:以可恢复格式存储密码会使密码面临恶意用户进行密码重用攻击的风险。事实上,需要注意的是,可恢复的加密密码相比明文密码并未提供显著的安全优势,因为它们不仅容易受到恶意攻击者的重用,也容易受到内部恶意人员的重用。如果系统管理员可以直接恢复密码,或者利用可用信息进行暴力搜索,管理员便可以在其他账户中使用该密码。
常见影响 (2)
Confidentiality, Access ControlGain Privileges or Assume Identity
User's passwords may be revealed.
Access ControlGain Privileges or Assume Identity
Revealed passwords may be reused elsewhere to impersonate the users in question.
缓解措施 (1)
Architecture and DesignUse strong, non-reversible encryption to protect stored passwords.
代码示例 (2)
Both of these examples verify a password by comparing it to a stored compressed version.
int VerifyAdmin(char *password) { if (strcmp(compress(password), compressed_password)) { printf("Incorrect Password!\n"); return(0); } printf("Entering Diagnostic Mode...\n"); return(1); }
Bad · C
int VerifyAdmin(String password) { if (passwd.Equals(compress(password), compressed_password)) { return(0); } //Diagnostic Mode return(1); }
Bad · Java
The following examples show a portion of properties and configuration files for Java and ASP.NET applications. The files include username and password information but they are stored in cleartext.
# Java Web App ResourceBundle properties file ... webapp.ldap.username=secretUsername webapp.ldap.password=secretPassword ...
Bad · Java
... <connectionStrings> <add name="ud_DEV" connectionString="connectDB=uDB; uid=db2admin; pwd=password; dbalias=uDB;" providerName="System.Data.Odbc" /> </connectionStrings> ...
Bad · ASP.NET
CVE ID标题CVSS风险等级Published
CVE-2024-32042 Cyber Power Systems PowerPanel Business Edition 安全漏洞 — PowerPanel business 4.9 Medium2024-05-15
CVE-2024-3543 DELL ECS Connection Manager 安全漏洞 — LoadMaster 6.4 Medium2024-05-02
CVE-2024-1480 Unitronics Vision series PLCs 安全漏洞 — Vision230 7.5 High2024-04-19
CVE-2023-38738 IBM OpenPages with Watson 安全漏洞 — OpenPages with Watson 6.8 Medium2024-01-19
CVE-2023-31001 IBM Security Access Manager Appliance 安全漏洞 — Security Verify Access Appliance 5.1 Medium2024-01-11
CVE-2023-2358 Hitachi Vantara Pentaho Business Analytics Server 安全漏洞 — Pentaho Business Analytics Server 4.3 Medium2023-09-26
CVE-2022-47376 BD Alaris Infusion Central 安全漏洞 — Alaris Infusion Central 7.5 -2023-06-13
CVE-2023-2881 Pimcore 安全漏洞 — pimcore/customer-data-framework 6.5 -2023-05-25
CVE-2023-31150 Schweitzer Engineering Laboratories Real Time Automation Controller 安全漏洞 — SEL-3505 8.0 High2023-05-10
CVE-2023-23382 Microsoft Azure Machine Learning 安全漏洞 — Azure Machine Learning 6.5 Medium2023-02-14
CVE-2022-32519 Schneider Electric StruxureWare Data Center Expert 安全漏洞 — Data Center Expert 8.0 High2023-01-30
CVE-2023-21726 Microsoft Windows 安全漏洞 — Windows 10 Version 1809 7.8 High2023-01-10
CVE-2022-46142 Siemens部分产品 安全漏洞 — RUGGEDCOM RM1224 LTE(4G) EU 5.7 Medium2022-12-13
CVE-2022-22251 Juniper Networks Junos OS 安全漏洞 — Junos OS 7.8 High2022-10-18
CVE-2022-34838 ABB Zenon 安全漏洞 — ABB Zenon 8.1 High2022-08-24
CVE-2022-34837 ABB Zenon 安全漏洞 — ABB Zenon 6.2 Medium2022-08-24
CVE-2021-35050 Fidelis Network 安全漏洞 — Fidelis Network 6.5 Medium2021-06-25
CVE-2021-27485 ZOLL Defibrillator Dashboard 安全漏洞 — ZOLL Defibrillator Dashboard 6.5 -2021-06-16
CVE-2020-8296 Nextcloud 安全漏洞 — Nextcloud Server 6.5 -2021-03-03
CVE-2021-0220 Juniper Networks Junos OS 安全漏洞 — Junos Space 6.8 Medium2021-01-15
CVE-2019-18256 Biotronik CardioMessenger II-S 授权问题漏洞 — BIOTRONIK CardioMessenger II-S T-Line, CardioMessenger II-S GSM 4.6 -2020-06-29
CVE-2019-19096 ABB eSOMS 安全漏洞 — eSOMS 6.1 Medium2020-04-02
CVE-2019-3736 Dell EMC Integrated Data Protection Appliance ACM组件安全漏洞 — Integrated Data Protection Appliance 9.1 -2019-09-27
CVE-2019-1010241 CloudBees Jenkins Credentials Binding Plugin Jenkins插件信任管理问题漏洞 — Jenkins 6.5 -2019-07-19
CVE-2019-6567 Siemens Scalance X-300 信任管理问题漏洞 — SCALANCE X-200 switch family (incl. SIPLUS NET variants) 9.1 -2019-06-12
CVE-2019-5615 Rapid7 InsightVM 信任管理问题漏洞 — InsightVM 6.5 -2019-04-09
CVE-2018-5446 Medtronic 2090 CareLink Programmer 安全漏洞 — 2090 CareLink Programmer 4.9 Medium2018-05-04
CVE-2017-9942 Siemens SiPass integrated 安全漏洞 — SiPass integrated All versions before V2.70 7.8 -2017-08-08

CWE-257(以可恢复格式存储口令) 是常见的弱点类别,本平台收录该类弱点关联的 58 条 CVE 漏洞。