CVEbaza.plSłownik CWECWE-521
Common Weakness Enumeration

CWE-521

Weak Password Requirements

Kategoria: BaseCVE: 308
Opis

Produkt nie wymaga od użytkowników posiadania silnych haseł. Pozwala to na zastosowanie słabych haseł, które mogą być łatwo zgadnięte lub złamane.

Description (EN)

The product does not require that users should have strong passwords.

Podatności CVE z CWE-521 (308)
10.0
CVSS
CRITICAL
CVE-2025-12364

Urządzenia Azure-Access BLU-IC2 oraz BLU-IC4 posiadają krytyczną podatność wynikającą ze słabej polityki haseł (CWE-521), co pozwala nieuwierzytelnionemu atakującemu na przejęcie kontroli nad urządzeniem przez sieć. Podatność otrzymała maksymalną ocenę CVSS 10.0, co oznacza skrajnie wysokie ryzyko dla środowisk, w których te urządzenia są wdrożone.

pub. 2025-10-27
10.0
CVSS
CRITICAL
CVE-2025-12285

Urządzenia Azure-Access BLU-IC2 oraz BLU-IC4 nie wymuszają zmiany domyślnego hasła przy pierwszym uruchomieniu. Podatność ta otrzymała maksymalny wynik CVSS 10.0, co oznacza możliwość pełnego przejęcia kontroli nad urządzeniem przez nieuwierzytelnionego atakującego sieciowego.

pub. 2025-10-26
9.8
CVSS
CRITICAL
CVE-2026-25715

Interfejs zarządzania webowego urządzenia umożliwia ustawienie nazwy użytkownika i hasła administratora na wartości puste. Skutkuje to całkowitym wyłączeniem uwierzytelniania na wszystkich kluczowych kanałach zarządzania, co pozwala dowolnemu atakującemu w sieci na przejęcie pełnej kontroli administracyjnej bez znajomości jakichkolwiek danych logowania.

pub. 2026-02-20
9.8
CVSS
CRITICAL
CVE-2025-53963

Urządzenia Thermo Fisher Ion Torrent OneTouch 2 (INS1005527) posiadają serwer SSH dostępny na domyślnym porcie 22 z predefiniowanym, słabym hasłem root 'ionadmin', którego zmiana nie jest wymuszona. Umożliwia to nieuwierzytelnionemu atakującemu z dostępem sieciowym przejęcie pełnej kontroli nad urządzeniem.

pub. 2025-12-04
9.8
CVSS
CRITICAL
CVE-2025-63747

QaTraq 6.9.2 jest dostarczany z fabrycznie skonfigurowanymi danymi uwierzytelniającymi konta administracyjnego, które są aktywne w domyślnej instalacji. Atakujący z dostępem do strony logowania może natychmiast uzyskać pełne uprawnienia administracyjne bez żadnej dodatkowej wiedzy.

pub. 2025-11-17
9.8
CVSS
CRITICAL
CVE-2025-11200

Podatność w MLflow umożliwia zdalnym atakującym ominięcie mechanizmu uwierzytelnienia bez konieczności posiadania jakichkolwiek uprawnień. Błąd wynika ze zbyt słabych wymagań dotyczących haseł, co pozwala na nieautoryzowany dostęp do systemu.

pub. 2025-10-29
9.8
CVSS
CRITICAL
CVE-2025-30127

Podatność w kamerze samochodowej Marbella KR8s Dashcam FF 2.0.8 umożliwia pobranie zapisanych nagrań wideo i audio po uzyskaniu dostępu do urządzenia przy użyciu domyślnych, typowych lub złamanych haseł. Nagrania mogą zawierać wrażliwe dane, takie jak trasy przejazdu, rozmowy i zarejestrowane obrazy.

pub. 2025-08-06
9.8
CVSS
CRITICAL
CVE-2025-28389

OpenC3 COSMOS v6.0.0 stosuje zbyt słabe wymagania dotyczące haseł, co umożliwia atakującemu przeprowadzenie ataku brute force i obejście uwierzytelnienia. Podatność uzyskała krytyczny wynik CVSS 9.8, gdyż nie wymaga żadnych uprawnień ani interakcji użytkownika.

pub. 2025-06-13
9.8
CVSS
CRITICAL
CVE-2025-28200

Router Govicture RX1800 wykorzystuje słabe domyślne hasło generowane na podstawie ostatnich 8 cyfr adresu MAC urządzenia. Jest to podatność krytyczna, ponieważ atakujący może przewidzieć hasło i uzyskać nieautoryzowany dostęp do urządzenia bez znajomości jego konfiguracji.

pub. 2025-05-09
9.8
CVSS
CRITICAL
CVE-2025-25211

Urządzenie CHOCO TEI WATCHER mini (IB-MCT001) we wszystkich wersjach nie wymusza stosowania silnych haseł, co naraża je na ataki brute-force. Skuteczne wykorzystanie podatności może umożliwić nieautoryzowany dostęp i zalogowanie się do urządzenia.

pub. 2025-03-31
9.8
CVSS
CRITICAL
CVE-2025-27663

Podatność w Vasion Print (dawniej PrinterLogic) umożliwia odzyskanie haseł użytkowników wskutek zastosowania słabego mechanizmu ich szyfrowania lub kodowania. Krytyczny poziom oceny CVSS 9.8 wskazuje, że luka może być wykorzystana zdalnie bez uwierzytelnienia i bez interakcji użytkownika.

pub. 2025-03-05
9.8
CVSS
CRITICAL
CVE-2024-42850

Podatność w funkcji zmiany hasła w Silverpeas v6.4.2 i starszych pozwala na ominięcie wymagań dotyczących złożoności hasła. Sklasyfikowana jako CRITICAL (CVSS 9.8), umożliwia atakującemu bez uwierzytelnienia i bez interakcji użytkownika ustawienie słabego hasła, co poważnie obniża poziom bezpieczeństwa kont.

pub. 2024-08-16
9.8
CVSS
CRITICAL
CVE-2024-3263

YMS VIS Pro, system informatyczny dla administracji weterynaryjnej i żywnościowej, zawiera krytyczną podatność wynikającą z wadliwego generowania poświadczeń systemowych i słabej polityki haseł. Umożliwia to atakującemu przeprowadzenie ataku brute force i uzyskanie nieautoryzowanego dostępu do systemu.

pub. 2024-05-14
9.8
CVSS
CRITICAL
CVE-2023-49238

W Gradle Enterprise przed wersją 2023.1 nowe instalacje mogą posiadać nieunikalnie hasło początkowego użytkownika systemowego. Atakujący może zalogować się przed pierwszym logowaniem administratora i przejąć kontrolę nad systemem.

pub. 2024-01-09
9.8
CVSS
CRITICAL
CVE-2023-24049

Podatność w oprogramowaniu routera Connectize AC21000 G6 (wersja 641.139.1.1256) umożliwia atakującemu uzyskanie podwyższonych uprawnień na urządzeniu. Krytyczny poziom zagrożenia wynika z możliwości przejęcia pełnej kontroli nad urządzeniem bez konieczności uwierzytelnienia.

pub. 2023-12-04
9.8
CVSS
CRITICAL
CVE-2023-29974

An issue discovered in Pfsense CE version 2.6.0 allows attackers to compromise user accounts via weak password requirements.

pub. 2023-11-08
9.8
CVSS
CRITICAL
CVE-2023-37756

I-doit pro 25 and below and I-doit open 25 and below employ weak password requirements for Administrator account creation. Attackers are able to easily guess users' passwords via a bruteforce attack.

pub. 2023-09-14
9.8
CVSS
CRITICAL
CVE-2023-31098

Weak Password Requirements vulnerability in Apache Software Foundation Apache InLong.This issue affects Apache InLong: from 1.1.0 through 1.6.0.  When users change their password to a simple password (with any character or symbol), attackers can easily guess the user's password and access the account. Users are advised to upgrade to Apache InLong's 1.7.0 or cherry-pick https://github.com/apache/inlong/pull/7805 https://github.com/apache/inlong/pull/7805 to solve it.

pub. 2023-05-22
9.8
CVSS
CRITICAL
CVE-2023-2106

Weak Password Requirements in GitHub repository janeczku/calibre-web prior to 0.6.20.

pub. 2023-04-15
9.8
CVSS
CRITICAL
CVE-2022-32513

A CWE-521: Weak Password Requirements vulnerability exists that could allow an attacker to gain control of the device when the attacker brute forces the password. Affected Products: C-Bus Network Automation Controller - LSS5500NAC (Versions prior to V1.10.0), Wiser for C-Bus Automation Controller - LSS5500SHAC (Versions prior to V1.10.0), Clipsal C-Bus Network Automation Controller - 5500NAC (Versions prior to V1.10.0), Clipsal Wiser for C-Bus Automation Controller - 5500SHAC (Versions prior to V1.10.0), SpaceLogic C-Bus Network Automation Controller - 5500NAC2 (Versions prior to V1.10.0), SpaceLogic C-Bus Application Controller - 5500AC2 (Versions prior to V1.10.0)

pub. 2023-01-30
Pokazano 20 z 308 podatności
Informacje
ID: CWE-521
Typ: Base
Podatności: 308
MITRE CWE ↗
← Słownik CWE
CWE-521 — Słabe wymagania dotyczące haseł | Słownik CWE | CVEbaza.pl