CWE-836 在认证机制中使用口令哈希代替口令 类弱点 12 条 CVE 漏洞汇总,含 AI 中文分析。
CWE-836 属于认证机制缺陷。攻击者通过拦截客户端发送的密码哈希值,即可直接冒充合法用户通过身份验证,无需破解原始密码。这种“哈希传递”攻击利用了服务器仅验证哈希值的逻辑漏洞。开发者应避免在客户端生成哈希,改为在网络中传输加密后的明文密码,并在服务器端进行哈希计算与比对,从而确保认证过程的安全性。
| CVE ID | 标题 | CVSS | 风险等级 | Published |
|---|---|---|---|---|
| CVE-2026-40103 | Vikunja 安全漏洞 — vikunja | 4.3 | Medium | 2026-04-10 |
| CVE-2019-25552 | CEWE PHOTO SHOW 安全漏洞 — CEWE PHOTO SHOW | 7.5 | High | 2026-03-21 |
| CVE-2025-64471 | Fortinet FortiWeb 安全漏洞 — FortiWeb | 4.4 | Medium | 2025-12-09 |
| CVE-2025-52543 | Copeland E3 Supervisory Control 安全漏洞 — E3 Supervisory Control | 9.8AI | CriticalAI | 2025-09-02 |
| CVE-2025-48925 | TeleMessage 安全漏洞 — service | 4.3 | Medium | 2025-05-28 |
| CVE-2023-39546 | NEC Expresscluster X 安全漏洞 — CLUSTERPRO X (EXPRESSCLUSTER X) | 8.8 | - | 2023-11-17 |
| CVE-2023-4299 | Digi RealPort 安全漏洞 — Digi RealPort | 9.0 | Critical | 2023-08-31 |
| CVE-2023-34132 | SonicWALL Analytics和GMS 安全漏洞 — GMS | 9.1 | - | 2023-07-13 |
| CVE-2023-23450 | SICK FTMg 授权问题漏洞 — SICK FTMG-ESD15AXX AIR FLOW SENSOR | 6.2 | Medium | 2023-05-15 |
| CVE-2022-32282 | WWBN AVideo 授权问题漏洞 — AVideo | 8.8 | - | 2022-08-22 |
| CVE-2021-23857 | Bosch Rexroth IndraMotion Mlc 授权问题漏洞 — IndraMotion MLC L25, L45, L65, L75, L85, XM21, XM22, XM41 and XM42 IndraMotion XLC | 10.0 | Critical | 2021-10-04 |
| CVE-2017-7927 | 多款大华产品安全漏洞 — Dahua Technology Co., Ltd Digital Video Recorders and IP Cameras | 9.4 | - | 2017-05-06 |
CWE-836(在认证机制中使用口令哈希代替口令) 是常见的弱点类别,本平台收录该类弱点关联的 12 条 CVE 漏洞。