关键信息 漏洞名称 Insecure Password Handling 影响版本 <= 2.34.0 修复版本 2.34.1 漏洞描述 问题1: 用户可以设置弱密码,如“secret”或仅包含单个数字。 问题2: 初始管理员账户的默认密码为“admin”,且未强制更改。 问题3: 缺乏暴力破解防护。 影响 攻击者可以通过暴力破解攻击获取所有账户的密码。 概念验证 提供了HTTP通信示例,展示如何配置弱密码和进行暴力破解测试。 推荐的对策 实施密码策略,限制密码长度和复杂度。 强制用户在首次登录时更改默认密码。 实施暴力破解防护,限制一定时间内的登录尝试次数。 时间线 2020-08-27: 发现漏洞 2020-09-16: 披露给项目 2020-09-29: 更新项目仓库中的建议 2020-09-30: CVE被分配给GitHub 2020-09-30: 在2.34.1版本中修复 参考文献 OWASP Authentication Cheat Sheet NIST Special Publication 800-63B, Digital Identity Guidelines - Passwords Periodic Passwords Common Weaknesses CWE-307: Improper Restriction of Excessive Authentication Attempts CWE-521: Weak Password Requirements CWE-1839: Use of Default Credentials