关键信息总结 漏洞描述 漏洞类型: 弱随机数生成器在密码生成函数中 严重性: 严重 影响版本 受影响的版本: <= WBCE CMS 1.6.4 修复版本: 1.6.5 漏洞细节 函数: GenerateRandomPassword() 问题: 使用PHP的 函数生成密码,该函数非密码学安全,可能导致密码序列可预测或暴力破解。 代码片段 影响 可预测密码: 可能被攻击者猜出。 账户风险: 导致账户被破解或权限提升,特别是用于新账户或密码重置时。 推荐修复 1. 替换 : 使用 或 以确保安全性。 2. 密码长度: 最小长度设置为12-16个字符。 3. 密码库: 考虑使用密码生成库或安全的令牌生成(如 )。 相关标准和文档 CVE: 2025-67504 CWE: 287, 331, 338 参考资料: - CWE官网关于弱密码生成器的定义 - OWASP密码存储 Cheat Sheet - PHP手册关于