关键信息 漏洞概述 漏洞标识符: SBA-ADV-20250325-02 漏洞类型: 弱哈希算法 (CVE-2028: 使用弱哈希) 受影响软件: Cyberduck 和 Mountain Duck 厂商: iterate GmbH 影响版本: Cyberduck <= 9.1.6 和 Mountain Duck <= 4.17.5 修复版本: Cyberduck 9.1.7 和 Mountain Duck 4.17.8 CVE ID: CVE-2024-41256 GHSA ID: GHSA-688c-vrjc-84rv CVSS 向量: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:A/N CVSS 基本分数: 7.4 (高) 影响 由于证书指纹存储为 SHA-1,攻击者可能引发哈希碰撞并执行中间人攻击,导致 TLS 加密连接的机密性和完整性完全丧失。 推荐的对策 升级到 Cyberduck 版本 9.1.7 或 Mountain Duck 版本 4.17.8 及更高版本。 应用程序应使用更安全的哈希算法(如 SHA-256 或 SHA-512)存储证书指纹。 时间线 2023-09-05: 在 Cyberduck 版本 9.1.3 和 Mountain Duck 版本 4.17.5 中发现漏洞。 2023-09-27: 初始联系尝试和向 iterate GmbH 披露漏洞。 2023-09-29: 厂商接受报告。 2023-09-30: 厂商创建私有分支解决问题。 2023-10-03: 厂商合并补丁到主分支。 2023-10-04: 发布 Cyberduck 9.1.7 和 Mountain Duck 4.17.8。 2023-10-05: 公开披露 GHSA。 2023-10-06: SBA 研究分配 SBA-2025-4256。 2023-10-07: 公开披露 CVE。