CVE-2021-39182

Use of Password Hash With Insufficient Computational Effort and Use of a Broken or Risky Cryptographic Algorithm and Reversible One-Way Hash in hashing.py

CVSS 7.5 HIGHEPSS 0.5%CWE-327 CWE-328 CWE-916

Em resumo

A biblioteca EnroCrypt, um módulo Python para criptografia, usava MD5 para hash de senhas antes da versão 1.1.4, um algoritmo criptograficamente quebrado que permite aos atacantes quebrar senhas muito mais rapidamente. Qualquer sistema dependente de hashes MD5 para armazenamento de senhas fica seriamente em risco de acesso não autorizado.

Detalhe técnico

A vulnerabilidade resulta do uso de MD5 (CWE-327, CWE-328) para hash de senhas em hashing.py, um algoritmo quebrado vulnerável a ataques de colisão e força bruta devido a esforço computacional insuficiente (CWE-916). Um atacante com acesso aos hashes de senha pode recuperar facilmente as credenciais em texto plano, comprometendo a autenticação de usuários. O problema foi corrigido na v1.1.4.

Resumo gerado e traduzido por IA a partir da descrição oficial.

EnroCrypt is a Python module for encryption and hashing. Prior to version 1.1.4, EnroCrypt used the MD5 hashing algorithm in the hashing file. Beginners who are unfamiliar with hashes can face problems as MD5 is considered an insecure hashing algorithm. The vulnerability is patched in v1.1.4 of the product. As a workaround, users can remove the `MD5` hashing function from the file `hashing.py`.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Produtos afetados

Morgan-Phoenix · EnroCrypt

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/Morgan-Phoenix/EnroCrypt/commit/e652d56ac60eadfc26489ab83927af13a9b9d8ce https://github.com/Morgan-Phoenix/EnroCrypt/security/advisories/GHSA-35m5-8cvj-8783